Die Cryptomalware wurde in Bewerbungsmails mit sehr gutem Deutsch versendet und es befindet sich meistens auch eine "normale" PDF im Anhang. Der Verschlüsselungstrojaner selbst, ist als Makro in einer Excel-Datei versteckt. Wird diese vollständig ausgeführt, wird die eigentliche Malware nachgeladen und die Verschlüsselung beginnt. Wie auch bei Petya, wird dem Anwender eine Reparatur des Filesystems vorgegaukelt. In Wirklichkeit läuft hier bereits die Verschlüsselung ab. Die vermeintlichen Bewerbungen werden unter dem Namen Rolf Drescher (rolf.drescher@*) versendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt bereits vor diesen Angriff. Wie viele Unternehmen bereits betroffen sind, ist derzeit noch unklar.

Mailverkehr & Bewerbung

Aus Rücksicht auf das geschädigte Unternehmen, haben wir alle Informationen, die zur Identifizierung des Untehmens führen könnten unkenntlich gemacht. Außerdem weisen wir darauf hin, dass der Absender variiert und es sich in unserem Fall nicht um die Stadt Cuxhaven handelt.


Tweet vom CERT-Bund

Weitere Beiträge zum Thema Ransomware

Informationen zur Goldeneye Ransomware

    Über den Autor

    ITler aus Leidenschaft, der sich seit über 10 Jahren mit Serversystemen beschäftigt. Außerdem SysAdmin, Webvideoproduzent, Metalhead, Gründer und Geschäftsführer von QSO4YOU (Services)

    Teilen

    Kommentare