WARNUNG: Trojaner in Bewerbungsmails

07.12.2016: GEFAHR durch Trojaner in Bewerbungsemails! Bitte keine Dateien anklicken!

risiko stufe hochDerzeit ist ein neuer, sehr gefährlicher Trojaner der Gattung Ransomware mit dem Namen "Goldeneye" im Umlauf, der sich per Email konrket auf ausgeschriebene Stellen bezieht! Die Email kommt in einwandfreiem Deutsch per Email hauptsächlich bei den Personalabteilungen an. Dort sind teilweise echte PDF-Bewerbungen hinterlegt und bisher noch eine Excel Datei.

Klickt man diese Bewerbung mit Excel oder PDF Dateien an, werden Daten von Excel oder word auch auf den Netzwlaufwerken verschlüsselt! Über eine Text-Datei erhält man die Information, dass die Dateien Verschlüsselt wurden und man einen Betrag für die Entschlüsslunge bezahlen soll. Wir raten dringend davon ab, diese "Lösegeldforderung" zu bezahlen, da nicht bekannt ist, ob der Entschlüsslungscode überhaupt herausgegeben wird.

 

Mehrere Firmen sind hier schon betroffen und die Antivirusprogramme erkennen diesen neuen Trojaner noch nicht! Derzeit ist nur bekannt, dass der Trojaner nicht auf allen Betriebssystemen funktioniert. Bekannt sind Windows 7, 10 und Server 2008 - bei Server 2012 scheint der Trojaner nicht zu funktionieren.

Die verschlüsselten Dateien lassen sich nicht mehr wiederherstellen und man muss vom Backup die Dateien zurückkopieren!

BITTE KLICKEN SIE KEINE DATEIN IN BEWERBUNGSMAILS AN!

 

UPDATE: 12:45 Uhr:

Die befallenen Verzeichnisse enthalten jeweils eine lesbare Textdatei:

trojaner goldeneye

mit folgendem Inhalt:

You became victim of the GOLDENEYE RANSOMWARE!

The files on your computer have been encrypted with an military grade encryption algorithm. There is no way
to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.

To purchase your key and restore your data, please follow these three easy steps:

    1. Download the Tor Browser at "https://www.t********t.org/". If you need help, please google for
       "access onion page".

    2. Visit one of the following pages with the Tor Browser:

http://golden********h7.o********n/pNs********
http://golden********.o********n/pNsh********

    3. Enter your personal decryption code there: ************************************************

 

Die Links wurden hier entfernt und durch die "*" unkenntlich gemacht. Wenn Sie eine solche Datei bei sich finden, hat der Trojaner auch bei Ihnen sicherlich schon Teile der Dateien mit Berechtigung verschlüsselt.

Wenn sie betroffen sind, stecken Sie den/die betroffenen Rechner SOFORT vom Netzwerk ab!

 

UPDATE: 17:35 Uhr:

Wir konnten bei den betroffenen Firmen über das Einspielen von Backups die Dateien wiederherstellen, so dass die Unternehmen wieder arbeiten können. Die betroffenen PCs mit dem Trojaner lassen sich aber nur schwer bereinigen.

Nach der Desinfektion des PCs durch einen Virenscanner von CD, wurden die Schadprogramme zwar entfernt, jedoch lassen sich danach keine Office-Dokumente mehr speichern. Offensichtlich wird hier die Speicherfunktion der Officeprogramme befallen, so dass der Trojaner sich beim Speichern jeweils mit der Datei speichert und so verbreitet.

 

za-internet GmbH

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter.