Erpresservirus Goldeneye: Bislang fünf Anzeigen in Österreich

12. Dezember 2016, 13:59
17 Postings

Schädling tarnt sich als echtes Bewerbungsschreiben und zielt auf Firmen ab

Seit vergangener Woche treibt ein besonders heimtückischer Erpressungstrojaner sein Unwesen im Netz. Goldeneye hat es auf Personalabteilungen abgesehen. Der Virus tarnt sich als Bewerbungsschreiben, das per Mail versendet wird. Nach mehreren Fällen in Deutschland, ist er nun auch in Österreich aktiv.

Virus schwer zu erkennen

Bislang gibt es fünf Anzeigen in Österreich, wie Silvia Strasser, Sprecherin des Bundeskriminalamts, auf Nachfrage des STANDARD mitteilt. Tatsächliche Infektionen dürfte es aber mehr geben. Das Heimtückische an Goldeneye: Die E-Mails sind in fehlerfreiem Deutsch gehalten, richten sich an den richtigen Empfänger in der Firma und nehmen oft auf eine reale Stellenausschreibung Bezug. Öffnen Nutzer den Anhang und aktivieren wie gefordert die Bearbeitungsfunktion des Dokuments, wird der Virus aktiv – er verschlüsselt die Dateien auf dem Computer und verlangt die Zahlung eines Lösegeldes. Bislang gibt es nur wenige Virenscanner, die Goldeneye erkennen.

Einer Firma in Baden-Württemberg entstand laut Angaben des lokalen Polizeipräsidiums dadurch ein Schaden von 10.000 Euro. Laut "Stuttgarter Zeitung" sind auch mehrere Stadtverwaltungen betroffen. Wie hoch die Schadensummen in Österreich sind, ist nicht bekannt. Aufgrund der weiten Verbreitung solcher Viren hat das BKA im Juni eine Sonderkommission eingerichtet.

Zahlung in Bitcoins

Damit Nutzer wieder Zugriff auf ihre Daten erhalten, benötigen sie den privaten Schlüssel, mit dem die Dateien verschlüsselt wurden. Dafür verlangen die Virenautoren Lösegeld in Form der Kryptowährung Bitcoin. Zur Bezahlung werden Nutzer meist auf eine Seite im Darknet geschickt, die Rückverfolgung ist damit sehr schwierig. Im Fall von Goldeneye werden rund 1,3 Bitcoin verlangt, das entspricht derzeit umgerechnet etwa 950 Euro. Die Schöpfer anderer Viren sind deutlich gieriger. Der Virus Osiris verlangt laut "Heise" gleich 3 Bitcoins, also umgerechnet rund 2.200 Euro. Der Schädling wird mit dem Betreff "Firewall Software" verbreitet. Der Text ist jedoch in schlechtem Englisch gehalten, weshalb Nutzer wohl eher Verdacht schöpfen als bei Goldeneye.

Die Polizei warnt davor, E-Mail-Anhänge von Unbekannten zu öffnen. Zumindest im Fall von Goldeneye ist dieser Rat wenig praktikabel, denn bei Bewerbungsschreiben ist es Usus E-Mail-Anhänge zu verschicken. Keinesfalls sollte man in zugesendeten Dokumenten die Bearbeitungsfunktion aktivieren, da Trojaner so ihre schädlichen Komponenten installieren können. Zwar gibt es auch Entschlüsselungsprogramme, jedoch sind diese Tools nicht für alle Viren verfügbar. Effektiveren Schutz bietet das regelmäßige Back-up aller Dateien auf einem Datenträger, der vom System getrennt ist. Dann können die Dateien wiederhergestellt werden. Die Bezahlung des Lösegeldes sollte nur als allerletzte Option in Betracht gezogen werden, denn es gibt keine Garantie, dass die Kriminellen nicht noch mehr verlangen. (Birgit Riegler, 12.12.2016)

Allgemeine Tipps von den Experten des Bundeskriminalamtes:

• Regelmäßig Backups durchführen und diese physisch vom Netz trennen (abstecken).

• Vor dem Klicken auf Links und Dateianhänge auf die Vertrauenswürdigkeit des Absenders achten und die Glaubwürdigkeit und Plausibilität der Nachricht prüfen.

• Schreibrechte von Mitarbeitern restriktiv handhaben: In der Regel ist die Verschlüsselung von Daten nur dann möglich, wenn der jeweilige Benutzer über entsprechende Schreibrechte verfügt.

• Software des Betriebssystems, Browser (einschließlich aller Plug-Ins) und Sicherheitssoftware stets am aktuellen Stand halten und Firewall aktivieren.

• Download von potenziell gefährlichen Dateien (z.B. exe, com, bat, vbs, msi, js …) unterbinden.

• Den Empfang von verschlüsselten Containern (z.B. zip, rar) blockieren.

• Makros in Office-Dokumenten deaktivieren; die Ausführung von potenziell gefährlichen Codes, z.B. JavaScript vermeiden.

• Die Ausführung von Schadsoftware verhindern, indem man nur den Start von zuvor festgelegter Software auf "Whitelisting"- oder Signatur-Basis erlaubt. In jedem Fall die Ausführung von Dateien in TEMP-Ordnern unterbinden. Für den Mobilbereich sollte ausschließlich die Installation von Apps aus "offiziellen" Quellen zulässig sein.

Nachlese

Als echte Bewerbung getarnt: Neuer Erpressungstrojaner verbreitet sich schnell

  • Erpressungstrojaner attackieren zunehmend Firmen.
    foto: apa/afp/damien meyer

    Erpressungstrojaner attackieren zunehmend Firmen.

    Share if you care.