Verschlüsselungstrojaner „Goldeneye“: „Bewerbung als Zerspanungsmechaniker“ Rolf Drescher

goldeneye trojaner bewerbung Rolf drescher"Von: Rolf Drescher [mailto:[email protected]

Gesendet: Mittwoch, 7. Dezember 2016 00:28
An: Echte Mailadresse
Betreff: Bewerbung als Zerspanungsmechaniker

Sehr geehrte Damen und Herren,
hiermit bewerbe ich mich bei Ihnen für die die Stelle als Zerspanungsmechaniker. Meine vollständigen Bewerbungsunterlagen können Sie dem Anhang entnehmen.
Ich freue mich auf Ihre Rückmeldung und stehe Ihnen bei Rückfragen jederzeit gerne zur Verfügung.
Mit freundlichem Gruß

Rolf Drescher"
Seit gestern berichten die einschlägigen Fachmedien über einen neuen Verschlüsselungstrojaner. Dieser enthält wohl auch detaillierte Informationen über die eigene Firma und tarnt sich als raffinierte Bewerbung, auch speziell auf echte ausgeschriebene Stellen.

Auf dem Bild Auszüge aus der PDF Datei.

Die Infektionsrate steigt aktuell extrem an, die die meisten Virenscanner den Trojaner noch nicht kennen und die Systemadministratoren Ihre Sicherheitsmaßnahmen noch nicht darauf abgestimmt haben. Der Virus verschlüsselt alle Datei auf dem PC und auf allen erreichbaren Netzlaufwerken, angeschlossenen USB-Sticks, und USB-Festplatten.

Grundsätzlich gilt wie immer:
– Keine fremden E-Mails öffnen!
– Keine Anhänge aus fremden E-Mails öffnen!
– Keine Makros in Excel oder Word Dateien aktivieren, egal von welchem Absender!
– Regelmäßige Datensicherung auf nicht mit dem System verbundene Datenträger!
– Teilen Sie diese Informationen!

[1] https://www.heise.de/newsticker/meldung/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant-3561396.html
[2] https://www.heise.de/newsticker/meldung/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html

deutsche bank trojaner 07 2016

Trojaner-Download mit Excel-Datei: Neue Sicherheitsrichtlinien Deutsche Bank

deutsche bank trojaner 07 2016"Von: Deutsche Bank Privat- und Geschaftskunden AG [mailto:[email protected]

Gesendet: Freitag, 8. Juli 2016 07:02
An: [email protected]
Betreff: Neue Sicherheitsrichtlinien
Deutsche Bank
Sehr geehrter Deutsche Bank Kunde,
wir bemühen uns stets, Ihre Sicherheit auf dem höchsten Niveau zu halten.
Kürzlich haben wir unser Sicherheitssystem verbessert und optimiert um Sie noch besser vor Betrug zu schützen.
Bedingt durch die neuen Sicherheitsrichtlinien bitten wir Sie, Ihre Daten, sowie Ihre Mobilfunknummer zu aktualisieren und Ihr Konto den neuen Standarts anzupassen.
Falls in 48 Stunden keine Aktualisierung Ihrerseits erfolgt, erheben wir eine Bearbeitungsgebühr von 23,99 EUR. Der Betrag wird automatisch von Ihrem Konto eingezogen und Sie erhalten den das Schreiben innerhalb weniger Tage per Post.
Bitte öffnen Sie die Exel-Datei im Anhang der Mail und fullen Sie die Form aus. Klicken Sie danach auf "Daten speichern", somit werden die Daten automatisch an die Bank gesendet.
Anmerkung: Makros mussen diese aktiviert sein.
Mit freundlichen Grüßen
Julia Grahle
Deutsche Bank AG
Taunusanlage 12
60325 FRANKFURT AM MAIN (für Briefe und Postkarten: 60262)
DEUTSCHLAND"
Das kam gerade frisch rein. Die subtile Drohung, wenn man nicht reagiert Kosten entstehen zu lassen, hilft möglicherweise bei Einigen. Die Excel-Datei formular_id4007134874.xls im Anhang wird aktuell jedenfalls von KEINEM der 52 Anti-Virus Tests auf virustotal.com erkannt! Vermutlich also eine neue Version eines Kryptotrojaners, wie Teslacrypt oder Locky.
Auf jeden Fall: Datei keinesfalls öffnen und schon gar nicht, wie in der Mail gefordert, die Makros aktivieren. Dadurch startet man den Trojaner und er beginnt den Schad-Code aus dem Internet nachzuladen.
Wie immer: Ignorieren und Löschen!

Schutz vor Crypto-Trojaner: Datensicherung ganz einfach

Zu allererst sollte man sein System so aktuell wie möglich halten. In den allermeisten Fällen werden die Crypto-Trojaner, wie z.B. Teslacrypt, Teslacrypt2, oder auch Locky über manipulierte MS Office Dateien (Word und Excel) auf das System gebracht. In diesen Dateien befinden sich Makros, welche den eigentlichen Virus herunterladen. Seit der MS Office Version 2003 werden Makros allerdings nicht mehr automatisch ausgeführt. Beim Öffnen der Datei wird aktive nachgefragt, ob das Makro ausgeführt werden darf. Bei einem Dokument, aus einer Quelle, welche man nicht kennt, und wenn das Dokument ansonsten auch leer ist, sollte man das natürlich nicht machen!

Hier ein kleines Script zu komfortablen Dateisicherung auf eine, am besten jedoch mehrere externe USB-Festplatten. Wichtig ist, dass die Festplatte nach der Sicherung wieder vom System getrennt wird, da der Cryptotrojaner alle verbundenen Laufwerke und Netzwerkpfade verschlüsselt.
Voraussetzungen:
Man weiß wo seine wichtigen Daten liegen.
devcon.exe muss auf dem System installiert sein – Download hier [1]. Detaillierte Infos dazu hier [2].
Eine Batch-Datei erstellen mit diesem Inhalt und den Inhalt an das eigene System anpassen.

 

echo USB HDD verbinden!
REM USB Platte verbinden vorher mit „devcon listclass USB“ die ID suchen hier z.B.: VID_13FD*PID_1840
REM den individuellen Pfad zur devcon.exe finden, hier z.B. C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe
„C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe\devcon.exe“ enable USB\VID_13FD*PID_1840
REM Datenauswählen und auf Platte kopieren
robocopy „c:\Quellpfad1“ „F:\Zielpfad1″ /S /ZB /MT:8 /FFT /DST /R:5 /Log+:“C:\log1.txt“
robocopy „d:\Quellpafd2“ „F:\Zielpfad2″ /S /ZB /MT:8 /FFT /DST /R:5 /Log+:“C:\log2.txt“
echo fertig kopiert!
REM USB HDD wieder trennen
„C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe\devcon.exe“ disable USB\VID_13FD*PID_1840
echo USB HDD getrennt!

 

Das Script als Administrator ausführen und schon hat man seine Daten auf der externen Platte und die Platte ist vom System getrennt und somit sicher vor Verschlüsselung durch Crypto-Trojaner. Das Script eignet sich besonders für den Taskplaner (Aufgabenplanung) um periodisch automatische Sicherungen zu erstellen.

  Wichtig ist, das die Festplatte natürlich so kurz wie möglich mit dem System verbunden ist.

[1] http://support.microsoft.com/kb/311272/de
[2] https://www.administrator.de/wissen/usb-wechseldatentr%C3%A4ger-devcon-entfernen-reaktivieren-164936.html