Erpressungstrojaner Gandcrab verbreitet sich über gefälschte Bewerbungsmails

  • Allgemein

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Erpressungstrojaner Gandcrab verbreitet sich über gefälschte Bewerbungsmails

    Momentan sind vermehrt Fake-Bewerbungen als Mail in Umlauf, die einen gefährlichen Trojaner als Dateianhang haben.
    Der Erpressungstrojaner Gandcrab hat es derzeit offensichtlich auf Windows-Computer in Firmen abgesehen und versucht diese über den Anhang einer Bewerbungsmail zu infizieren.
    Vor allem Personaler sollten aufpassen und angehängte Dateien von Bewerbungen nicht ohne Prüfung öffnen.
    Das LKA Niedersachsen warnt vor dem Trojaner – mittlerweile haben auch Leser heise Security dazu kontaktiert.

    Gefährliche Mail
    Mit dem alleinigen Empfang der gefälschten Bewerbungsmail passiert erst mal nichts. Im Dateianhang findet sich neben einem Bild ein Zip-Archiv. Darin befindet sich der Erpressungstrojaner in Form einer .exe-Datei. Diese darf man unter keinen Umständen ausführen! Sonst ist der Computer infiziert und Gandcrab verschlüsselt Dateien. Diese sind dann gesperrt – den Schlüssel wollen die Erpresser erst nach einer Lösegeldzahlung rausrücken.
    Das LKA empfiehlt, dass Lösegeld nicht zu zahlen. Betroffene Firmen können sich an die Zentrale Ansprechstelle Cybercrime (ZAC) der Polizei wenden. In Niedersachsen geht das über die Webseite der ZAC.
    Zum Zeitpunkt der Meldung schlugen beim Online-Analysedienst Virustotal 37 von 67 Scannern bei der Datei Alarm – darunter bekannte Scanner von beispielsweise Avira, Eset und Kaspersky. Der Betreff der Mail, die heise Security vorliegt, lautet: "Bewerbung auf die ausgeschriebene Stelle - Hannah Sommer". Es sind aber auch Mails mit anderem Namen in Umlauf.

    Schutz
    Derzeit hat es Gandcrab offenbar nur auf Windows-PCs abgesehen. Wer Linux oder macOS einsetzt, ist nicht bedroht. Ein kostenloses Entschlüsselungstool gibt es momentan nicht. Prüfen kann man dies auf der Webseite von ID Ransomware.
    Firmen, aber auch Privat-Nutzer, müssen regelmäßig Backups von ihren Daten anfertigen. So kann man die Daten im Falle einer Infektion einfach wieder zurückspielen. Natürlich darf der Backup-Speicher nicht an einem Computer angeschlossen oder im Netzwerk verfügbar sein. Ansonsten macht sich Gandcrab auch über die Backup-Dateien her. Genrell sollte man bei jeder E-Mail vorsichtig sein und niemals ohne Nachzudenken Dateianhänge öffnen oder auf Links klicken.
    Zuletzt sorgte der Schädling Gandcrab für Schlagzeilen, als bekannt wurde, dass er sich hinter Software-Cracks versteckt.


    Quelle: Erpressungstrojaner Gandcrab verbreitet sich über gefälschte Bewerbungsmails |
    heise Security
  • Jetzt patchen! Die Ransomware Gandcrab schlüpft durch Flash- und Windows-Lücken

    Auf einigen kompromittierten Webseiten lauert ein Exploit Kit, das nach Sicherheitslücken in Flash und Windows Ausschau hält.

    Die Hintermänner des Erpressungstrojaners Gandcrab setzen auf eine weitere Verbreitungsmethode: Das Exploit Kit Fallout nutzt Sicherheitslücken in Flash und Windows aus, um Computer mit dem Schädling zu infizieren. Davor warnen Sicherheitsforscher von Fireeye in einem Blog-Eintrag. Bei ihrer Untersuchung haben sie eigenen Angaben zufolge bislang nur eine Verbreitung in Nahost beobachtet.
    Wer den Flash Player und Windows nutzt, sollte sicherstellen, dass alle bis dato verfügbaren Sicherheitsupdates installiert sind. Die Flash-Lücke (CVE-2018-4878) wurde im April geschlossen. Die Windows-Schwachstelle (CVE-2018-8174) hat Microsoft am Patchday im August ausgebessert. Ist Windows verwundbar, reicht in der Theorie ein Besuch einer mit dem Fallout Exploit Kit ausgestatteten Webseite für eine Infektion aus.

    Daten gegen Lösegeld
    Hat Gandcrab zugeschlagen, sind Daten verschlüsselt und mit der Dateiendung .krab versehen. Den Zugriff wollen die Erpresser erst nach einer Lösegeldzahlung in Höhe von rund 500 US-Dollar freischalten. Das LKA Niedersachsen empfiehlt, das Lösegeld nicht zu zahlen. Betroffene Firmen können sich an die Zentrale Ansprechstelle Cybercrime (ZAC) der Polizei wenden. In Niedersachsen geht das über die Webseite der ZAC.
    Bislang verbreitete sich der Verschlüsselungstrojaner über gefälschte Bewerbungsmails. Außerdem versteckt sich die Ransomware hinter Fake-Software-Cracks und versucht darüber Windows-Computer zu befallen.

    Auch macOS bedroht
    Neben Gandcrab kann das Exploit Kit noch weitere Malware auf Computer schleusen. Auch macOS-Nutzer stehen im Fokus von Fallout – Gandcrab ist für Nutzer dieses Systems aber nicht gefährlich. Surft man als Mac-Nutzer eine damit präparierte Seite an, findet eine Umleitung statt und Werbeanzeigen wollen potenziellen Opfern Fake-Antiviren-Software unterjubeln

    Quelle: Jetzt patchen! Die Ransomware Gandcrab schlüpft durch Flash- und Windows-Lücken |
    heise Security