Verschlüsselungstrojaner „Goldeneye“: „Bewerbung als Zerspanungsmechaniker“ Rolf Drescher

goldeneye trojaner bewerbung Rolf drescher"Von: Rolf Drescher [mailto:[email protected]

Gesendet: Mittwoch, 7. Dezember 2016 00:28
An: Echte Mailadresse
Betreff: Bewerbung als Zerspanungsmechaniker

Sehr geehrte Damen und Herren,
hiermit bewerbe ich mich bei Ihnen für die die Stelle als Zerspanungsmechaniker. Meine vollständigen Bewerbungsunterlagen können Sie dem Anhang entnehmen.
Ich freue mich auf Ihre Rückmeldung und stehe Ihnen bei Rückfragen jederzeit gerne zur Verfügung.
Mit freundlichem Gruß

Rolf Drescher"
Seit gestern berichten die einschlägigen Fachmedien über einen neuen Verschlüsselungstrojaner. Dieser enthält wohl auch detaillierte Informationen über die eigene Firma und tarnt sich als raffinierte Bewerbung, auch speziell auf echte ausgeschriebene Stellen.

Auf dem Bild Auszüge aus der PDF Datei.

Die Infektionsrate steigt aktuell extrem an, die die meisten Virenscanner den Trojaner noch nicht kennen und die Systemadministratoren Ihre Sicherheitsmaßnahmen noch nicht darauf abgestimmt haben. Der Virus verschlüsselt alle Datei auf dem PC und auf allen erreichbaren Netzlaufwerken, angeschlossenen USB-Sticks, und USB-Festplatten.

Grundsätzlich gilt wie immer:
– Keine fremden E-Mails öffnen!
– Keine Anhänge aus fremden E-Mails öffnen!
– Keine Makros in Excel oder Word Dateien aktivieren, egal von welchem Absender!
– Regelmäßige Datensicherung auf nicht mit dem System verbundene Datenträger!
– Teilen Sie diese Informationen!

[1] https://www.heise.de/newsticker/meldung/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant-3561396.html
[2] https://www.heise.de/newsticker/meldung/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html

trojaner computer

Krypto-Trojaner in angeblicher Rechnung:Rechnung für Eigener Name Nr. 674513483

trojaner computer"Von: Abrechnung OnlinePayment GmbH [mailto:[email protected]

Gesendet: Dienstag, 16. August 2016 19:14
An: Mein Name
Betreff: Rechnung für Mein Name Nr. 674513483
Sehr geehrte/r Mein Name,
leider mussten wir feststellen, dass die Erinnerung Nr. 674513483 bislang ergebnislos blieb. Nun geben wir Ihnen nun letztmalig die Möglichkeit, den ausbleibenden Betrag der Firma OnlinePayment GmbH zu begleichen.
Hinterlegte Daten:
Mein Name
Alte echte Adresse
Tel. Meine Handynummer
Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen dabei, die durch unsere Tätigkeit entstandene Gebühren von 58,30 Euro zu tragen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den fälligen Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungen bis zum 15.08.2016.
Wir erwarten die Überweisung bis zum 18.08.2016 auf unser Bankkonto. Falls wir bis zum genannten Datum keine Überweisung einsehen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen.
Die vollständige Forderungsausstellung ID 674513483, der Sie alle Positionen entnehmen können, ist beigefügt.
Sollten Sie den Rechnungsbetrag bereits vorab an uns überwiesen haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt.
Mit freundlichen Grüßen
Abrechnung Benjamin Wolf"
Das ist natürlich ein Betrugsversuch. Um einen gut personalisierten, sogar. Im Anhang befindet sich eine Zip-Datei: „Mein Name Abrechnung OnlinePayment GmbH.zip“, welche eine weiter Zip-Datei enthält: „Meine Name 15.08.2016 Mahnung Abrechnung OnlinePayment GmbH.zip“. Diese wiederum enthält eine direkt ausführebare .Com-Datei: „15.08.2016 Mein Name Mahnung Abrechnung OnlinePayment GmbH.com“. In dieser ist der Trojaner enthalten.
Virustotal.com zeigt, nur 16 der 54 Viren-Scanner erkennen diesen Virus zur Zeit. Scheinbar handelt es sich um Teslacrypt in der Version 5.

Keiner verschickt Rechnungen, Zahlungserinnerungen oder sonstige Dokumente als Zip-Datei.
Die E-Mail und auch ähnliche einfach ignorieren und löschen!

deutsche bank trojaner 07 2016

Trojaner-Download mit Excel-Datei: Neue Sicherheitsrichtlinien Deutsche Bank

deutsche bank trojaner 07 2016"Von: Deutsche Bank Privat- und Geschaftskunden AG [mailto:[email protected]

Gesendet: Freitag, 8. Juli 2016 07:02
An: [email protected]
Betreff: Neue Sicherheitsrichtlinien
Deutsche Bank
Sehr geehrter Deutsche Bank Kunde,
wir bemühen uns stets, Ihre Sicherheit auf dem höchsten Niveau zu halten.
Kürzlich haben wir unser Sicherheitssystem verbessert und optimiert um Sie noch besser vor Betrug zu schützen.
Bedingt durch die neuen Sicherheitsrichtlinien bitten wir Sie, Ihre Daten, sowie Ihre Mobilfunknummer zu aktualisieren und Ihr Konto den neuen Standarts anzupassen.
Falls in 48 Stunden keine Aktualisierung Ihrerseits erfolgt, erheben wir eine Bearbeitungsgebühr von 23,99 EUR. Der Betrag wird automatisch von Ihrem Konto eingezogen und Sie erhalten den das Schreiben innerhalb weniger Tage per Post.
Bitte öffnen Sie die Exel-Datei im Anhang der Mail und fullen Sie die Form aus. Klicken Sie danach auf "Daten speichern", somit werden die Daten automatisch an die Bank gesendet.
Anmerkung: Makros mussen diese aktiviert sein.
Mit freundlichen Grüßen
Julia Grahle
Deutsche Bank AG
Taunusanlage 12
60325 FRANKFURT AM MAIN (für Briefe und Postkarten: 60262)
DEUTSCHLAND"
Das kam gerade frisch rein. Die subtile Drohung, wenn man nicht reagiert Kosten entstehen zu lassen, hilft möglicherweise bei Einigen. Die Excel-Datei formular_id4007134874.xls im Anhang wird aktuell jedenfalls von KEINEM der 52 Anti-Virus Tests auf virustotal.com erkannt! Vermutlich also eine neue Version eines Kryptotrojaners, wie Teslacrypt oder Locky.
Auf jeden Fall: Datei keinesfalls öffnen und schon gar nicht, wie in der Mail gefordert, die Makros aktivieren. Dadurch startet man den Trojaner und er beginnt den Schad-Code aus dem Internet nachzuladen.
Wie immer: Ignorieren und Löschen!

trojaner mediamarkt1

Ransomware CERBER über E-Mail „Mediamarkt“: Dein Buchung wird ausgeliefert 019568

trojaner mediamarkt1"Von: Frank Wick [mailto:[email protected]

Gesendet: Freitag, 24. Juni 2016 05:45
An: [email protected]
Betreff: Dein Buchung wird ausgeliefert 019568
Sehr verehrter Client,
Vielen Dank für die Bestellung von "alfi 3522.000.150 isolierkanne."
Geschätztes Ankunftsdatum ist morgen,
berechnet auf Basis der eingetragenen
Lieferadresse im mediamarkt.de Online Store.
Um Ihren Kaufpurchasing zu bestätigen (oder abzubrechen), bitte benutzen
Sie Ihren einzigartigen Client Identifikations Schlüssel,
indem Sie den unten genannten
Klicken Sie hier.
Wir möchten uns herzlich bei Ihnen dafür bedanken, dass Sie unseren Handel
für Ihren Kauf ausgesucht haben.
Im Falle von Problemen, zögern Sie nicht, uns anzurufen.
Hochachtungsvoll,
Frank Wick"
Hier eine fingierte E-Mail vom „Mediamarkt“, welche einen Geschäftsabschluss vortäuscht. Der Link führt zu h**p://www.jobisez.com/redirect.aspx?URL=http://tvr489eo8z.vseandroidhost.ru/jy8lfawz9b . Dort holt man sich dann über die heruntergeladene ZIP-Datei einen Trojaner ab, welcher den PC verschlüsselt. Der Krypto-Trojaner CERBER ist Ransomware, welche für das entsprechende Entschlüsselungsprogramm ca. 500€ in Bitcoins verlangt. Die Erpresser erklären ausserdem, das wenn man nicht innerhalb von 5 Tagen zahlt, sich die Summe verdoppelt.
Wie immer gilt auch hier: Ignorieren und Löschen!

bewerbung fake1

Krypto-Trojaner JS.TeslaCrypt.4.Gen. in Bewerbung von Tim Lerchner

bewerbung fake1"Von: Tim Lerchner [mailto:[email protected]

Gesendet: Montag, 20. Juni 2016 11:02
An: [email protected]
Betreff: Bewerbung
Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre bei meinestadt.de ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.
Mit freundlichen Grüßen,
Tim Lerchner"
Lieber „Tim“, vielen Dank für deine Bewerbung. Deine ausführlichen Dokumente kannst du also in einer 4 kb großen Zip Datei verpacken? Das kann nicht wirklich viel sein 😉
Nun aber mal Spaß beiseite. Diese Mail ist natürlich keine echte Bewerbung, ich habe ja auch keine Stelle ausgeschrieben. Sie enthält den Teslacrypt Trojaner der 4. Generation und zielt darauf ab, meine Daten zu kompromittieren.
Wie immer gilt auch hier: Ignorieren und Löschen!

Seit Ende Mai gibt es ein kostenloses Entschlüsselungstool für alle Teslacrypt Geschädigten:

http://www.heise.de/security/meldung/Erpressungs-Trojaner-TeslaCrypt-gibt-auf-Master-Schluessel-veroeffentlicht-3210654.html

Kryptotrojaner 06 20161

Perfider Trojaner im Anhang: Offene Betrag – Franz Himmel, Rechnung-2016-05-05.doc

Kryptotrojaner 06 20161"Von: [email protected] [mailto:[email protected]]
Gesendet: Montag, 6. Juni 2016 15:17
Betreff: Offene Betrag
Guten Tag,
Im Anhang dieser Email finden Sie Ihre Rechnung.
Wir mussten feststellen das Sie die Rechnung immer noch nicht bezahlt haben.
Der offene Betrag ist innerhalb von 1 Tag zu begleichen.
Wir raten Ihnen die Rechnung sofort zu bezahlen ansonsten leiten wir dies an unser Inkasso weiter.
Mit freudliche Grüssen,
Franz Himmel"
Zugesandt bekam ich heute die oben stehende Mail. Im Anhange bedindet sich ein Word-Dokument (Rechnung-2016-05-05.doc). Keiner der 56 Virenscanner bei Virustotal erkannte inen Trojaner. Trotzdem steht für mich fest, das einer enthalten ist. Die Dokumentenvorschau in MS Outlook fordert mich explizit auf, Makros im Dokument zu zulassen. Ein sehr deutlicher Hinweis auf eine kompromittierte Datei.
Auch hier kann ich nur darauf hinweisen: Nicht Öffnen, Ignorieren, Löschen!

Kryptotrojaner im Anhang: Ihre Mai Rechnung – 0135382

"Von: Bela Takacs [mailto:[email protected]

Gesendet: Montag, 6. Juni 2016 09:35
An: [email protected]
Betreff: Ihre Mai Rechnung - 0135382
Sehr geehrter Kunde,
Wir kontaktieren Sie bezüglich der Rechnung MAI-173650-16 von Truffer Ingenieur-. Die Rechnung ist seit dem 15.Juni 2016 fällig und der ausstehende Betrag beträgt 1159.00 EUR. Wir möchten Sie höflichst bitten, den ausstehenden Betrag schnellstmöglich zu bezahlen.
Wir danken für Ihre prompte Begleichung des Betrages. Bitte kontaktieren Sie uns, wenn Sie weitere Fragen haben.
Mit freundlichen Grüssen.
Bela Takacs
Truffer Ingenieur- | 01 380 56 70"
Mich erreichte mal wieder eine Mail mit Word-Dokument (Rechnung_Mai-16-38877.doc) im Anhang. Angeblich eine Rechnung. Kurze Rede langer Sinn: Natürlich ein Makrovirus, der einen Download-Trojaner enthält. Immerhin 15 von 56 Scannern bei Virustotal erkannten ihn.
Jedenfalls gilt wie immer: Ignorieren, nicht Öffnen und Löschen!

Schutz vor Crypto-Trojaner: Datensicherung ganz einfach

Zu allererst sollte man sein System so aktuell wie möglich halten. In den allermeisten Fällen werden die Crypto-Trojaner, wie z.B. Teslacrypt, Teslacrypt2, oder auch Locky über manipulierte MS Office Dateien (Word und Excel) auf das System gebracht. In diesen Dateien befinden sich Makros, welche den eigentlichen Virus herunterladen. Seit der MS Office Version 2003 werden Makros allerdings nicht mehr automatisch ausgeführt. Beim Öffnen der Datei wird aktive nachgefragt, ob das Makro ausgeführt werden darf. Bei einem Dokument, aus einer Quelle, welche man nicht kennt, und wenn das Dokument ansonsten auch leer ist, sollte man das natürlich nicht machen!

Hier ein kleines Script zu komfortablen Dateisicherung auf eine, am besten jedoch mehrere externe USB-Festplatten. Wichtig ist, dass die Festplatte nach der Sicherung wieder vom System getrennt wird, da der Cryptotrojaner alle verbundenen Laufwerke und Netzwerkpfade verschlüsselt.
Voraussetzungen:
Man weiß wo seine wichtigen Daten liegen.
devcon.exe muss auf dem System installiert sein – Download hier [1]. Detaillierte Infos dazu hier [2].
Eine Batch-Datei erstellen mit diesem Inhalt und den Inhalt an das eigene System anpassen.

 

echo USB HDD verbinden!
REM USB Platte verbinden vorher mit „devcon listclass USB“ die ID suchen hier z.B.: VID_13FD*PID_1840
REM den individuellen Pfad zur devcon.exe finden, hier z.B. C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe
„C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe\devcon.exe“ enable USB\VID_13FD*PID_1840
REM Datenauswählen und auf Platte kopieren
robocopy „c:\Quellpfad1“ „F:\Zielpfad1″ /S /ZB /MT:8 /FFT /DST /R:5 /Log+:“C:\log1.txt“
robocopy „d:\Quellpafd2“ „F:\Zielpfad2″ /S /ZB /MT:8 /FFT /DST /R:5 /Log+:“C:\log2.txt“
echo fertig kopiert!
REM USB HDD wieder trennen
„C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe\devcon.exe“ disable USB\VID_13FD*PID_1840
echo USB HDD getrennt!

 

Das Script als Administrator ausführen und schon hat man seine Daten auf der externen Platte und die Platte ist vom System getrennt und somit sicher vor Verschlüsselung durch Crypto-Trojaner. Das Script eignet sich besonders für den Taskplaner (Aufgabenplanung) um periodisch automatische Sicherungen zu erstellen.

  Wichtig ist, das die Festplatte natürlich so kurz wie möglich mit dem System verbunden ist.

[1] http://support.microsoft.com/kb/311272/de
[2] https://www.administrator.de/wissen/usb-wechseldatentr%C3%A4ger-devcon-entfernen-reaktivieren-164936.html

Makro-Virus mit Trojaner Download: Rechnung Firma Bergmann & Söhne

"Von: Hauke Nilsson [mailto:[email protected]

Gesendet: Montag, 1. Februar 2016 09:55
An: [email protected]
Betreff: Rechnung
--
Mit freundlichen Grüßen aus Neumünster,
Hauke Nilsson
- Verkaufsberater -
Bergmann & Söhne
--------------------------------------------------------
Tel : +49 4321-558 669 13
Fax : +49 4321-558 669 29
Email : [email protected]
www.bergmann-soehne.de
---------------------------------------------------------
Geschäftsführer: Jörn Bergmann
Unternehmenssitz: Pinneberg
Registergericht: Amtsgericht Pinneberg
Registernummer: HRB 1617 EL
Umsatzsteuer-Identifikationsnummer: DE 177610122
Steuernr.: 18/295/23147
Finanzamt Itzehoe"
Im Anhang findet sich ein Word-Dokument (CCE30032015_00001.doc). Keiner der Virenscanner von Virustotal erkennt den Schädling bisher.
Mail einfach löschen!

Krypto-Trojaner im Makrovirus: Invoice January J Thomson colour printers

"Von: A . Baird [mailto:[email protected]

Gesendet: Montag, 18. Januar 2016 11:59
An: [email protected]
Betreff: Invoice January
Hi,
We have been paid for much later invoices but still have the attached invoice as outstanding.
Can you please confirm it is on your system and not under query.
Regards
Alastair Baird
Financial Controller
Registered in Scotland 29216
14 Carnoustie Place
Glasgow G5 8PB
Direct Dial: 0141 418 5303
Tel: 0141 429 1094
www.jtcp.co.uk
? Save Paper - Do you really need to print this e-mail?"

Auch hier heißt es wieder, ignorieren und löschen!
Im Anhang findet sich eine Word-Datei: INV-IN174074-2016-386.doc. Aktuell wird der Schädling noch von keinem Antivirus-Programm erkannt!