16.12.2016

Goldeneye bewirbt sich als Trojaner bei Ihnen - in Vollzeit

Seit dem 06. Dezember 2016 ist ein Trojaner namens Goldeneye in Umlauf. Ziel der Ransomware-Attacke sind diesmal die Personalabteilungen von Unternehmen. Ein Entschlüsselungstool ist aktuell noch nicht verfügbar.


In Pierce Brosnans erstem Fall als britischer Geheimagent James Bond dreht sich alles um das Goldeneye. Dabei handelt es sich um eine EMP-Waffe des Kalten Kriegs mit enormer Zerstörungskraft. Die atomare Waffe wird per Satellit im Weltall gezündet und zerstört sämtliche elektronische Geräte auf der Erde.

Bei dem Trojaner Goldeneye handelt es sich zwar um keine Kriegswaffe, der Schaden, den er auf einem infizierten Rechner anrichten kann, darf dennoch nicht unterschätzt werden. Die Ransomware verschlüsselt nämlich binnen kürzester Zeit private Dateien und stellt dazu Lösegeldforderungen. Da aktuell noch kein Entschlüsselungstool auf dem Markt ist, bleiben die Geiseldateien in vielen Fällen vorerst unbrauchbar. 

Wie infiziert man sich mit dem Trojaner Goldeneye?

Der Trojaner Goldeneye wird seit dem 06. Dezember 04:00 Uhr per Email in Umlauf gebracht. Als Bewerbung eines Absenders namens „Rolf Drescher“ getarnt, wird die Ransomware in einem Excel-File mit der Bezeichnung „Bewerbung.xls“ verbreitet.

Die Ransomware befindet sich in einem Excel-File

Beim Öffnen der Datei wird der adressierte User angewiesen, die Ausführung von Makros zu erlauben. Wird der Aufforderung Folge geleistet, so beginnt der Trojaner mit der Verschlüsselung der Dateien auf dem Rechner. Nachdem die Dateien chiffriert sind, wird ein Neustart durchgeführt und eine Lösegeldforderung angezeigt, die als Textdatei auf dem infizierten Rechner hinterlegt ist. Die Erpressersumme, mit deren Begleichung die Übermittlung eines Entschlüsselungskeys in Aussicht gestellt wird, beträgt 1,33284506 Bitcoins und beläuft sich damit auf etwa 940 Euro. 

Wie erkennt man den Trojaner?

Der Trojaner Goldeneye wird personalisiert versendet und ist dadurch sehr geschickt getarnt. Das heißt, die Bewerbung nimmt tatsächlich Bezug auf ausgeschriebene Stellen eines Unternehmens und die dafür zuständigen Ansprechpartner werden namentlich angesprochen. In den ersten Tagen gingen die infizierten Emails lediglich an Mitarbeiter in Personalabteilungen, deren Kontaktdaten anhand offener Stellenausschreibungen leicht ausfindig gemacht werden konnten. Inzwischen werden aber auch interne Emailadressen angeschrieben, die nicht frei zugänglich sind. Die Emails sind zudem in fehlerfreiem Deutsch verfasst und wirken damit sehr authentisch. Im Anhang der Trojaner-Email befinden sich zwei Dateien: Eine Excel- und eine PDF-Datei. Verseucht ist lediglich die XLS-Datei. Obwohl ein Excel-File als Bewerbungsdokument unüblich ist, wird das Dokument häufig geöffnet, nicht zuletzt aufgrund des positiven Gesamteindrucks der Bewerbung sowie aufgrund der dazu verleitenden File-Bezeichnung „Bewerbung.xls“. Problematisch ist zudem, dass viele Virenscanner auf den Trojaner nicht ansprechen.

Wie verhält man sich als Betroffener?

Sobald man bemerkt, dass der Rechner von dem Trojaner Goldeneye befallen ist, sollte dieser umgehend vom Netz getrennt werden. Über einen gesunden Rechner kann nun die Multi-Virenscanner-Software Sardu heruntergeladen und auf dem infizierten Rechner installiert werden. Sämtliche Funde des anschließenden Scans sollten gelöscht werden.

Multi-Virenscanner Sardu

Hinsichtlich der befallenen Daten kann mit Programmen wie Panda Ransomware Decrypt und Kaspersky Ransomware Decryptor der Versuch unternommen werden, die Verschlüsselung aufzuheben; gelingt das nicht, so muss der Rechner komplett neu aufgesetzt werden. Sollten die chiffrierten Daten auch mit Hilfe von Forensik-Tools wie Recuva nicht wiederhergestellt werden können, so bleiben die Geiseldateien vorerst unbrauchbar. Ein maßgeschneiderter Entschlüsselungskey ist aktuell nämlich noch nicht auf dem Markt. Die Lösegeldforderung in Höhe von ca. 940 Euro zu begleichen, ist dennoch keinesfalls empfehlenswert: Zum einen ist nicht sicher, ob der Entschlüsselungskey tatsächlich herausgegeben wird, zum anderen besteht die Gefahr, dass weitere finanzielle Forderungen an die Opfer gerichtet werden. Am besten ist und bleibt also ein Backup auf einer externen Festplatte. Leider weiß man es meist erst dann zu schätzen, wenn man es wirklich einmal braucht.

 

 


comments powered by Disqus
Trojaner, Goldeneye