Ordinypt gefährdet Personalabteilungen – Erpressung durch neuen Trojaner

Ordinypt gefährdet Personalabteilungen – Erpressung durch neuen Trojaner

Computer-Netzwerk-Virenwarnung

Ransomware Ordinypt

Erpressungstrojaner Ordinypt infiziert durch FAKE-Bewerbungen an Personalabteilungen vorwiegend Firmen in Deutschland

Heise berichtet, das allem Anschein in Deutschland ein neuer Trojaner umgeht, der bewusst auf Personalabteilungen zielt und Lösegeld erpresst. Der in der eher seltenen Programmiersprache Delphi verfasste Trojaner lässt Opfern allerdings keine Chance, ihre Daten wiederzubekommen.

Ein Erpressungstrojaner grassiert momentan in Deutschland und bedroht vor allem die Daten von Firmen. Laut einem Bericht der Sicherheitsfirma G-Data handelt es sich bei Ordinypt um einen sogenannten Wiper-Trojaner. Dieser gibt vor, wichtige Daten auf dem Rechner des Opfers zu verschlüsseln. Für die Opfer sieht also erst mal alles so aus, als sei das System von einer Ransomware befallen. Allerdings machen sich die Angreifer wohl nicht die Mühe, Daten zu verschlüsseln sondern löschen stattdessen deren Inhalt – das geforderte Lösegeld zu zahlen ist also sinnlos.

Angriff zielt erneut auf Personalabteilungen

Ähnlich wie damals beim Goldeneye-Angriff nutzen die Drahtzieher hinter Ordinypt (auch bekannt als HSDFSDCrypt) sehr sauber verfasste Phishing-Mails in nahezu fehlerfreiem Deutsch, die sie mit Vorliebe direkt an personalverantwortliche Personen in deutschen Firmen schicken. Interessanterweise ist der vermeintliche Erpressungstrojaner in Delphi geschrieben – was eine Programmiersprache für Malware angeht eine eher ungewöhnliche Wahl.

Mehr Informationen sowie Screenshots finden Sie hier bei Heise-Online

Erste Details zu Ordinypt

Wiper-Trojaner versteckt sich im Mail-Anhang

In der per Mail versendeten .zip steckt nach einem IT-Experten eine weitere .zip und in der eine .com, die eigentlich eine umbenannte .exe ist. Das Programm selbst ist laufzeitkomprimiert – wahrscheinlich um die Untersuchung zu erschweren. Irgendwelche Daten werden nachgeladen und die CryptAPI ist auch eingebunden.

Die durch Windows als PDF getarnte Gefahr

Der Anhang tarnt sich als .pdf-Datei, hat aber tatsächlich die Extension .pdf.exe und ist damit von Windows auch ausführbar. Da der normale Anwender in Firmen meistens aber die Standardeinstellung „Dateierweiterungen nicht anzeigen“ eingestellt hat, werden die Zeichen rechts vom letzten (!) Punkt als Dateierweiterung betrachtet und nicht angezeigt.

Der Ordinypt-Schreiber hat der Datei das rotweiße Adobe-Icon spendiert, hat sich aber den Fehler geleistet, auch das .pdf an vorletzter Stelle im Dateinamen zu lassen, so dass das angezeigt wird. Bei gewöhnlichen .pdf-Dateien wird das eben NICHT angezeigt, und genau das hätte einem informierten Mail-Empfänger seit „Melissa“ auffallen müssen.

Weitere Informationen finden Sie hier.

 

Viren-Gefahren vermeiden

Nutzen Sie einen anderen Browser als den Internet-Explorer um Ihre Standardlinks zu öffnen.

Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. „Locky“ und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Word-Dokument tarnen, aber im Hintergrund die gefährliche Software ausführen. 

Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.

Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen.

Alle „extern“ annehmenden Stellen von Unternehmen sind Gefahrenpunkte. Einer der Gründe warum bei vielen HR-Abteilungen die Emails von außen unter Umgehung der DMZ und des Serverparks gesondert empfangen werden. Auf Rechnern ohne Netzanbindung und von dort dann, nach Kontrollen und Checks, einen Transfer erfahren. Es ist aufwändiger und zeitintensiver, aber hat bisher immer jeden „neuen“ Angriff vollkommen verhindert.

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

4 + 14 =

Erpressungstrojaner – Locky heisst „Diablo6“

Erpressungstrojaner – Locky heisst „Diablo6“

Erpressungstrojaner mit neuem Namen: Diablo6

Eil-Meldung von HEISE

Die Ransomware Locky ist als Diablo6 zurück und verschlüsselt wieder verstärkt die persönlichen Dateien von Opfern auf der ganzen Welt. Erhöhte Vorsicht im Umgang mit E-Mails ist momentan angebracht.

Berichten mehrerer Sicherheitsfirmen zufolge ist der Erpressungstrojaner Locky von den Toten auferstanden. Er verbreitet sich erneut über massenhafte Spam-Mails und nutzt jetzt die Endungen .diablo6 und .lukitus für von ihm verschlüsselte Dateien. Auch die neuen Varianten greifen Anwender nach dem bekannten Locky-Muster an: An einer Phishing-Mail hängt eine Zip-Datei an. Öffnet das Opfer diese, landet eine JavaScript-Datei auf dem Rechner. Wird diese auf einem Windows-System ausgeführt, lädt sie Schadcode aus dem Netz nach, der die Dateien des Opfers verschlüsselt.

Prüfen Sie Ihre eMail genau und handeln Sie nicht zu vorschnell beim Öffnen von gepackten Dateianhängen (z.B.: ZIP/RAR)

Erhöhte Alarmbereitschaft ratsam

Die Sicherheitsfirma Malwarebytes sieht seit Anfang August eine verstärkte Verbreitung der Ransomware. Laut einem früheren Bericht der Firma war Locky nie ganz verschwunden, die Verbreitung des Trojaners war aber zugunsten anderer Erpressungstrojaner stark zurückgegangen. Bisherige Berichte sprechen von englischen Spam-Mails, die hauptsächlich vorgeben, Rechnungen zu enthalten. Deutsche Phishing-Mails sind uns bisher nicht untergekommen. Sollten wir entsprechende Mails feststellen, werden wir diese Meldung aktualisieren.

Mehr Informationen erhalten Sie hier

Zahlreicher Anwender berichten von eMails, in der die echte Anschrift stand. Die Versender müssen Adressdaten aus einem Online-Shop oder etwas ähnlichem haben. Es wird oft berichtet, dass sie vorher noch nie eine so gut gemachte Mail gesehen haben, die Zahlungserinnerung, Signatur von „Rechtsanwalt XYZ“ und rechtschreibfehlerfreies Juristen-Deutsch enthält.

„Die detaillierte Forderungsaufstellung XYZ, der sie alle Einzelpositionen entnehmen können, ist beigefügt.“

Laut einigen Virenprogrammen erkannten nur 1/3 aller Virenscanner eine Malware. Es wird also zunehmend schwieriger, eMails schnell und sicher auszusortieren, die Möglichkeit, das man versehentlich einen solchen Anhang öffnet, wird immer größer und die Gefahr Diablo6 auf seinen Rechnern zur Entfaltung zu bringen immer größer.

Deutschland sicher im Netz meldet:

In den Mails geht es in der Regel um angebliche Rechnungen/ Mahnungen, nicht vorgenommene Bestellungen oder Warnhinweise, dass bei einem Shopping- oder Online-Banking-Konto verdächtige Aktivtäten aufgefallen seien. Für mehr Informationen wird auf den Anhang oder einen Link verwiesen, hinter denen sich jedoch mit dem Trojaner präparierte Dateien befinden.

SiBa rät deshalb zu besonderer Vorsicht bei E-Mails und verdächtigen Links. Darüber hinaus sollten weiterhin präventiv alle verfügbaren Schutzmaßnahmen vor Erpressungs-Trojanern zu ergriffen werden. Hierzu zählen insbesondere ein aktueller Virenscanner, die Installation aller Sicherheitsupdates auf Ihren Geräten sowie vor allen Dingen das Erstellen externer Datensicherungen, mit denen im Ernstfall verlorene Daten wieder hergestellt werden können.

 
Den ganzen Artikel lesen Sie hier

Mehr Sicherheit mit Restric’tor

Nützliches Werkzeug – Mit dem von C’t-Programmierern entwickelten Sicherheits-Tool Restric’tor lässt sich das eigene System besser gegen Infektionen von Viren und Angriffe von Trojanern und Ransomware schützen.

Das Programm pflegt unter Home-Versionen von Windows einen Schutz-Mechanismus nach, den die teureren Editionen standardmäßig an Bord haben. Diese bringen die sogenannten „Richtlinien für Softwareeinschränkung“ mit – im Englischen „Software Restriction Policies“ oder kurz SRP. Restric’tor erlaubt auch unter Windows Home den Zugriff auf diese.

Das Werkzeug unterbindet erst einmal jeglichen Zugriff, den Software auf das System haben will – dann pflegt man mithilfe von Regeln Ausnahmen nach. Darunter findet sich standardmäßig der Windows-Ordner sowie der Programme-Ordner – diese Programme hat man ja üblicherweise selbst installiert. Weitere Ausnahmen kann man selbst definieren – alle anderen Zugriffe werden erst einmal blockiert und benötigen Bestätigung vom Administrator.

Es handelt sich um eine perfekte (gegenüber Microsofts Bedienoberfläche deutlich verbesserte) Fortsetzung der Software Restriction Policies. Neben einer ordentlichen Einrichtung von Zugriffsrechten im Dateisystem, eingeschränkten Benutzerkonten und NoScript im Browser eine weitere, komplettierende Schranke, die von Malware überwunden werden muss, bevor diese wirksam werden kann. Es erspart das Erlernen der Registry-Regel-Syntax für diesen Schutz, wenn man sich eine Home-Edition von Windows erlaubt hat.
 
Den ganzen Artikel lesen Sie hier
 
Grundsätzlich empfehlen wir funktionierende Backups mit einer externen Datensicherung.

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

10 + 9 =

Erpressungstrojaner „Goldeneye“

Erpressungstrojaner „Goldeneye“

Personalabteilungen sind das Ziel des Trojaners

Der Verschlüsselungstrojaner Goldeneye verbreitet sich rasant und verbreitet sich als Bewerbungs-E-Mail.

Ein Verschlüsselungstrojaner treibt in Deutschland sein Unwesen. Die Ransomware Goldeneye wird per E-Mail verbreitet, an der eine XLS-Datei hängt. Die Mails sind als Bewerbung getarnt und in fehlerfreiem Deutsch formuliert, was die Erkennung als potenzielle Gefahr erschwert.

Öffnet der Nutzer die angehängte Excel-Datei, wird er im Dokument darum gebeten, die „Bearbeitungsfunktion“ des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Tut man dies und erlaubt dem Programm so, Makros auszuführen, ist es zu spät. Der Trojaner erzeugt dann zwei EXE-Dateien, führt sie aus und verschlüsselt Daten auf dem System, um anschließend Lösegeld zu fordern.

Momentan werden die bösartigen EXE-Dateien nach Erkenntnissen von AV-Test (https://www.av-test.org/de/news/) von nur sehr wenigen Virenscannern entdeckt. Ergebnisse beim Online-AV-Aggregator VirusTotal bestätigen dies.

Informationen zum Goldeneye Trojaner

Quelle  Heise.de

 

Bedrohung erkennen, Mitarbeiter warnen, Infektion verhindern

Derzeit gibt es noch kein Entschlüsselungstool, um von Goldeneye chiffrierte Dateien zu befreien. Mit unseren Tipps verhindern Sie eine Infektion aber im Vorfeld oder stoppen die Verschlüsselung frühzeitig.

Wenn der Erpressungs-Trojaner Goldeneye zugeschlagen hat, sind die Daten vorerst in der Gewalt der Kriminellen. Den Schlüssel wollen sie erst rausrücken, wenn Opfer das Lösegeld in Höhe von 1,33284506 Bitcoin (rund 940 Euro) bezahlen.

Goldeneye hat es in erster Linie auf Personalabteilungen in Deutschland abgesehen. Doch wer die folgenden Tipps befolgt und in Unternehmen verbreitet, kann eine Infektion verhindern oder den Verschlüsselungsvorgang noch frühzeitig stoppen, sodass nicht alle Daten betroffen sind. Und Vorsicht: Goldeneye verbreitet sich derzeit rasant.

Wenn nicht schon geschehen, sollten Admins jetzt sofort eine Warn-E-Mail an alle Abteilungen schreiben, dass aktuell gefälschte Bewerbungs-Mails vom Absender dem Schema folgend „rolf.drescher@, drescher1988@“ in Umlauf sind.

Mehr Informationen zum Goldeneye Trojaner

Quelle  Heise.de

Haben Sie schon Probleme?

14 + 4 =

Goldeneye Mail mit Anhang
Erpressungstrojaner "Goldeneye" 1
Erpressungstrojaner "Goldeneye" 2
Goldeneye Erpressungstrojaner

Bildquelle: Heise.de