Gandcrab Erpressertrojaner

Vorsicht vor falschen Bewerbungen per Mail


4. September 2018, von in IT-Sicherheit

Gandcrab heißt der neue Schrecken der Personalabteilung. Der Erpressertrojaner greift gezielt Unternehmen an, indem er sich als Bewerbung per E-Mail tarnt. In Zeiten des Personalmangels und der oft vergeblichen Suche nach Fachkräften eine besonders perfide Masche.

Alle Infos zu Gandcrab und wie Sie Ihr Unternehmen aktiv vor so genannter Ransomware schützen können, erfahren Sie bei uns. 

gandcrab erpressertrojaner

Der Gandcrab Erpressertrojaner verteilt sich über Bewerbungsmails

Gandcrab Erpressertrojaner in Umlauf

Das LKA Niedersachsen warnt aktuell massiv vor Gandcrab. Dabei handelt es sich um einen Erpressertrojaner, der gezielt deutsche Unternehmen angreift. Konzipiert ist er augenscheinlich bislang nur für Windows-Rechner, aber auch als Mac Nutzer sollten Sie beim Öffnen von Bewerbungen per E-Mail Vorsicht walten lassen. Einem aktuellen Test von virustotal.com zufolge, erkennen 26 von 65 verfügbaren Anti-Virus-Programmen den Verschlüsselungstrojaner nicht.

Im Gegensatz zu offensichtlichen Maschen, Schadsoftware in Unternehmen einzuschleusen à la „Ihr PayPal Konto wurde gesperrt“, sind Erpressertrojaner, die sich als Bewerbung tarnen, besonders effektiv. Der nachvollziehbare Grund: zahlreiche Unternehmen haben immer mehr Schwierigkeiten, qualifiziertes Personal zu finden. Das gilt besonders für Standorte abseits von Metropolen wie Berlin, Hamburg und Co. Die Folge: tausende Stellen sind ausgeschrieben und naturgemäß ist die Bewerbung per E-Mail das gewünschte Format. Genau das machen sich Hacker zunutze und entwickeln Ransomware wie Gandcrab, die so authentisch getarnt ist, dass unzählige Personaler und Inhaber achtlos den Anhang öffnen.

Gandcrab Ransomware erkennen

Das aktuelle Beispiele von Gandcrab zeigt: Erpressertrojaner auf einen Blick zu erkennen, ist nicht einfach. Die E-Mails enthalten Betreffzeilen wie beispielsweise „Bewerbung auf die ausgeschriebene Stelle – Nadine Bachert“ sowie einen kurzen Begrüßungstext und ein echt wirkendes Portrait-Foto. Leider nützt es nichts, die fiktive Frau Bachert jetzt auf die schwarze Liste zu setzen, denn die Namen variieren von Angriff zu Angriff. Bislang ist ebenfalls der Name „Hannah Sommer“ bekannt.

Der Inhalt der Gandcrab Mail stellt sich in der Regel wie folgt dar:

Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung im Vertrieb und der Kundenbetreuung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen. 
Ich freue mich auf ein persönliches Vorstellungsgespräch.
Mit besten Grüßen

Im Anschluss öffnen viele Personaler und Geschäftsführer arglos die angehängte ZIP-Datei. Und dann nimmt das Drama seinen Lauf.

E-Mail Anhang geöffnet – was nun?

Wer die ZIP-Datei entpackt und öffnet, hat schon verloren. Eine automatisch ausgeführte EXE-Datei verschlüsselt innerhalb von Sekunden das gesamte System und fordert anschließend ein fettes Lösegeld.

Folgender Text erscheint dann auf dem Bildschirm, gefolgt von der Aufforderung, den Anweisungen auf einer Website zu folgen, die über den Tor-Browser zu öffnen ist:

„—= GANDCRAB V4 =— 
Achtung! 
Alle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden verschlüsselt und haben die Dateiendung: .KRAB Die einzige Methode zum Wiederherstellen Ihrer Dateien besteht darin, Ihren persönlichen privaten Schlüssel zu erwerben. Nur wir können Ihnen diesen Schlüssel geben und nur wir können Ihre Dateien wiederherstellen. Die komplette Anleitung um Ihren privaten Schlüssel zu erwerben finden Sie auf unserer Webseite welche sich im TOR-Netzwerk befindet. Bitte folgen Sie diesen Schritten um auf unsere Webseite zu gelangen:

An dieser Stelle unsere Empfehlung: Trennen Sie den Rechner sofort vom Netzwerk und wenden Sie sich umgehend an die zentrale Ansprechstelle Cybercrime (ZAC) des LKA. Dort haben Sie die Möglichkeit, Anzeige zu erstatten. Die Zahlung sollten Sie nicht leisten, da auch noch nicht bekannt ist, ob die Daten im Anschluss überhaupt wieder freigegeben werden oder das Geld einfach weg ist. Stand heute gibt noch kein entsprechendes Entschlüsselungstool für Gandcrab. Regelmäßig prüfen können Sie die Verfügbarkeit auf der Website von ID Ransomware.

Schutz vor Gandcrab und Co.

Um aktuell und künftig vor Lösegeld-Forderungen durch Erpressertrojaner gefeit zu sein, empfehlen wir eine Reihe von Maßnahmen:

  1. Schulen Sie Ihre Mitarbeiter. Informieren Sie besonders Kollegen aus der Personalabteilung und vom Empfang über die Angriffswellen durch gefälschte Bewerbungen per E-Mail. Verfügen Sie zudem, dass besonders ZIP-Dateien niemals ohne Rücksprache mit dem IT-Support geöffnet werden dürfen. Ransomware kann sich zwar auch unter dem Deckmantel von Word- oder Excel-Formaten tarnen, die Verbreitung über ZIP-Dateien ist aber gängiger. Grundsätzlich sicherer sind PDFs.
  2. Sorgen Sie dafür, dass Ihre Anti-Viren-Programme immer auf dem neuesten Stand sind und alle wichtigen Updates direkt nach Veröffentlichung durchgeführt werden. Idealerweise überlassen Sie automatische Sicherheits-Updates Experten des IT-SERVICE.NETWORK.
  3. Setzen Sie einen Stand-alone-PC ein und lassen Sie Bewerbungsmail nur darüber öffnen. Dieser Rechner sollte vom übrigens Unternehmensnetzwerk und dem Server getrennt sein. So hält sich der Schaden im Fall eines Falles zumindest in Grenzen.
  4. Lassen Sie regelmäßig Backups Ihrer Unternehmensdaten erstellen. Dank automatisierter Software ist dies ohne Weiteres möglich. So können Sie sicher sein, im Falle eines Datenverlusts (beispielsweise durch nicht erfolgte Lösegeld-Zahlung) weiterhin auf all Ihre Daten zugreifen zu können. Natürlich wichtig hierbei: die Backups dürfen nicht auf Ihren eigenen Servers erstellt und gespeichert werden, sonst sind sie ebenfalls weg, Ihr Anprechpartner aus dem IT-SERVICE.NETWORK berät Sie gerne zu den Möglichkeiten einer automatischen Backuperstellung.

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.