deutsche bank trojaner 07 2016

Trojaner-Download mit Excel-Datei: Neue Sicherheitsrichtlinien Deutsche Bank

deutsche bank trojaner 07 2016"Von: Deutsche Bank Privat- und Geschaftskunden AG [mailto:[email protected]

Gesendet: Freitag, 8. Juli 2016 07:02
An: [email protected]
Betreff: Neue Sicherheitsrichtlinien
Deutsche Bank
Sehr geehrter Deutsche Bank Kunde,
wir bemühen uns stets, Ihre Sicherheit auf dem höchsten Niveau zu halten.
Kürzlich haben wir unser Sicherheitssystem verbessert und optimiert um Sie noch besser vor Betrug zu schützen.
Bedingt durch die neuen Sicherheitsrichtlinien bitten wir Sie, Ihre Daten, sowie Ihre Mobilfunknummer zu aktualisieren und Ihr Konto den neuen Standarts anzupassen.
Falls in 48 Stunden keine Aktualisierung Ihrerseits erfolgt, erheben wir eine Bearbeitungsgebühr von 23,99 EUR. Der Betrag wird automatisch von Ihrem Konto eingezogen und Sie erhalten den das Schreiben innerhalb weniger Tage per Post.
Bitte öffnen Sie die Exel-Datei im Anhang der Mail und fullen Sie die Form aus. Klicken Sie danach auf "Daten speichern", somit werden die Daten automatisch an die Bank gesendet.
Anmerkung: Makros mussen diese aktiviert sein.
Mit freundlichen Grüßen
Julia Grahle
Deutsche Bank AG
Taunusanlage 12
60325 FRANKFURT AM MAIN (für Briefe und Postkarten: 60262)
DEUTSCHLAND"
Das kam gerade frisch rein. Die subtile Drohung, wenn man nicht reagiert Kosten entstehen zu lassen, hilft möglicherweise bei Einigen. Die Excel-Datei formular_id4007134874.xls im Anhang wird aktuell jedenfalls von KEINEM der 52 Anti-Virus Tests auf virustotal.com erkannt! Vermutlich also eine neue Version eines Kryptotrojaners, wie Teslacrypt oder Locky.
Auf jeden Fall: Datei keinesfalls öffnen und schon gar nicht, wie in der Mail gefordert, die Makros aktivieren. Dadurch startet man den Trojaner und er beginnt den Schad-Code aus dem Internet nachzuladen.
Wie immer: Ignorieren und Löschen!

Kryptotrojaner 06 20161

Perfider Trojaner im Anhang: Offene Betrag – Franz Himmel, Rechnung-2016-05-05.doc

Kryptotrojaner 06 20161"Von: [email protected] [mailto:[email protected]]
Gesendet: Montag, 6. Juni 2016 15:17
Betreff: Offene Betrag
Guten Tag,
Im Anhang dieser Email finden Sie Ihre Rechnung.
Wir mussten feststellen das Sie die Rechnung immer noch nicht bezahlt haben.
Der offene Betrag ist innerhalb von 1 Tag zu begleichen.
Wir raten Ihnen die Rechnung sofort zu bezahlen ansonsten leiten wir dies an unser Inkasso weiter.
Mit freudliche Grüssen,
Franz Himmel"
Zugesandt bekam ich heute die oben stehende Mail. Im Anhange bedindet sich ein Word-Dokument (Rechnung-2016-05-05.doc). Keiner der 56 Virenscanner bei Virustotal erkannte inen Trojaner. Trotzdem steht für mich fest, das einer enthalten ist. Die Dokumentenvorschau in MS Outlook fordert mich explizit auf, Makros im Dokument zu zulassen. Ein sehr deutlicher Hinweis auf eine kompromittierte Datei.
Auch hier kann ich nur darauf hinweisen: Nicht Öffnen, Ignorieren, Löschen!

Kryptotrojaner im Anhang: Ihre Mai Rechnung – 0135382

"Von: Bela Takacs [mailto:[email protected]

Gesendet: Montag, 6. Juni 2016 09:35
An: [email protected]
Betreff: Ihre Mai Rechnung - 0135382
Sehr geehrter Kunde,
Wir kontaktieren Sie bezüglich der Rechnung MAI-173650-16 von Truffer Ingenieur-. Die Rechnung ist seit dem 15.Juni 2016 fällig und der ausstehende Betrag beträgt 1159.00 EUR. Wir möchten Sie höflichst bitten, den ausstehenden Betrag schnellstmöglich zu bezahlen.
Wir danken für Ihre prompte Begleichung des Betrages. Bitte kontaktieren Sie uns, wenn Sie weitere Fragen haben.
Mit freundlichen Grüssen.
Bela Takacs
Truffer Ingenieur- | 01 380 56 70"
Mich erreichte mal wieder eine Mail mit Word-Dokument (Rechnung_Mai-16-38877.doc) im Anhang. Angeblich eine Rechnung. Kurze Rede langer Sinn: Natürlich ein Makrovirus, der einen Download-Trojaner enthält. Immerhin 15 von 56 Scannern bei Virustotal erkannten ihn.
Jedenfalls gilt wie immer: Ignorieren, nicht Öffnen und Löschen!

Schutz vor Crypto-Trojaner: Datensicherung ganz einfach

Zu allererst sollte man sein System so aktuell wie möglich halten. In den allermeisten Fällen werden die Crypto-Trojaner, wie z.B. Teslacrypt, Teslacrypt2, oder auch Locky über manipulierte MS Office Dateien (Word und Excel) auf das System gebracht. In diesen Dateien befinden sich Makros, welche den eigentlichen Virus herunterladen. Seit der MS Office Version 2003 werden Makros allerdings nicht mehr automatisch ausgeführt. Beim Öffnen der Datei wird aktive nachgefragt, ob das Makro ausgeführt werden darf. Bei einem Dokument, aus einer Quelle, welche man nicht kennt, und wenn das Dokument ansonsten auch leer ist, sollte man das natürlich nicht machen!

Hier ein kleines Script zu komfortablen Dateisicherung auf eine, am besten jedoch mehrere externe USB-Festplatten. Wichtig ist, dass die Festplatte nach der Sicherung wieder vom System getrennt wird, da der Cryptotrojaner alle verbundenen Laufwerke und Netzwerkpfade verschlüsselt.
Voraussetzungen:
Man weiß wo seine wichtigen Daten liegen.
devcon.exe muss auf dem System installiert sein – Download hier [1]. Detaillierte Infos dazu hier [2].
Eine Batch-Datei erstellen mit diesem Inhalt und den Inhalt an das eigene System anpassen.

 

echo USB HDD verbinden!
REM USB Platte verbinden vorher mit „devcon listclass USB“ die ID suchen hier z.B.: VID_13FD*PID_1840
REM den individuellen Pfad zur devcon.exe finden, hier z.B. C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe
„C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe\devcon.exe“ enable USB\VID_13FD*PID_1840
REM Datenauswählen und auf Platte kopieren
robocopy „c:\Quellpfad1“ „F:\Zielpfad1″ /S /ZB /MT:8 /FFT /DST /R:5 /Log+:“C:\log1.txt“
robocopy „d:\Quellpafd2“ „F:\Zielpfad2″ /S /ZB /MT:8 /FFT /DST /R:5 /Log+:“C:\log2.txt“
echo fertig kopiert!
REM USB HDD wieder trennen
„C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe\devcon.exe“ disable USB\VID_13FD*PID_1840
echo USB HDD getrennt!

 

Das Script als Administrator ausführen und schon hat man seine Daten auf der externen Platte und die Platte ist vom System getrennt und somit sicher vor Verschlüsselung durch Crypto-Trojaner. Das Script eignet sich besonders für den Taskplaner (Aufgabenplanung) um periodisch automatische Sicherungen zu erstellen.

  Wichtig ist, das die Festplatte natürlich so kurz wie möglich mit dem System verbunden ist.

[1] http://support.microsoft.com/kb/311272/de
[2] https://www.administrator.de/wissen/usb-wechseldatentr%C3%A4ger-devcon-entfernen-reaktivieren-164936.html

Makro-Virus mit Trojaner Download: Rechnung Firma Bergmann & Söhne

"Von: Hauke Nilsson [mailto:[email protected]

Gesendet: Montag, 1. Februar 2016 09:55
An: [email protected]
Betreff: Rechnung
--
Mit freundlichen Grüßen aus Neumünster,
Hauke Nilsson
- Verkaufsberater -
Bergmann & Söhne
--------------------------------------------------------
Tel : +49 4321-558 669 13
Fax : +49 4321-558 669 29
Email : [email protected]
www.bergmann-soehne.de
---------------------------------------------------------
Geschäftsführer: Jörn Bergmann
Unternehmenssitz: Pinneberg
Registergericht: Amtsgericht Pinneberg
Registernummer: HRB 1617 EL
Umsatzsteuer-Identifikationsnummer: DE 177610122
Steuernr.: 18/295/23147
Finanzamt Itzehoe"
Im Anhang findet sich ein Word-Dokument (CCE30032015_00001.doc). Keiner der Virenscanner von Virustotal erkennt den Schädling bisher.
Mail einfach löschen!

Krypto-Trojaner im Makrovirus: Invoice January J Thomson colour printers

"Von: A . Baird [mailto:[email protected]

Gesendet: Montag, 18. Januar 2016 11:59
An: [email protected]
Betreff: Invoice January
Hi,
We have been paid for much later invoices but still have the attached invoice as outstanding.
Can you please confirm it is on your system and not under query.
Regards
Alastair Baird
Financial Controller
Registered in Scotland 29216
14 Carnoustie Place
Glasgow G5 8PB
Direct Dial: 0141 418 5303
Tel: 0141 429 1094
www.jtcp.co.uk
? Save Paper - Do you really need to print this e-mail?"

Auch hier heißt es wieder, ignorieren und löschen!
Im Anhang findet sich eine Word-Datei: INV-IN174074-2016-386.doc. Aktuell wird der Schädling noch von keinem Antivirus-Programm erkannt!

Makrovirus mit Trojaner-Download: Lieferschein Fa. Textilreinigung Klaiber

"Von: Textilreinigung Klaiber [mailto:[email protected]

Gesendet: Dienstag, 22. Dezember 2015 09:16
An: [email protected]
Betreff: Lieferschein

Sehr geehrte Damen und Herren,
in der Anlage erhalten Sie wie gewünscht den aktuellen Lieferschein.
Bei Fragen stehen wir Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen

Textilreinigung Klaiber
Gewerbestrasse 39
78054 VS - Schwenningen
Telefon 07720 / 33238
Telefax 07720 / 33641
s[email protected]"

Auch heute erreichten mich wieder zahlreiche Makroviren mit Trojaner-Download. Neu war z.B. dieser hier. Im Anhang die 11815–113686.doc enthält den Macro.Trojan-Downloader.Agent.KF. Das Schlimme ist, das nur 1 von 54 Virenscannern den Virus erkennt. Ichhoffe die Erkennungsrate verbessert sich schnell!

Vorsicht – Mail einfach Löschen Anhang nicht öffnen!

Trojaner per Makrovirus: Bestellung Fa. BERGES Antriebstechnik

"Von: Krell, Jürgen [mailto:[email protected]]
Gesendet: Freitag, 18. Dezember 2015 09:45
An: '[email protected]';
Betreff: Bestellung

Mit freundlichen Grüßen
BERGES Antriebstechnik/Einkauf
i.A. Jürgen Krell
Leiter Einkauf

Tel: +49 2264 17-145
Fax: +49 2264 17-144
E-Mail:[email protected]
--------------------------------------------
BERGES Antriebstechnik GmbH & Co. KG
Industriestr. 13, 51709 Marienheide
Tel.: +49 2264 17 0, Fax: +49 2264 17 125
E-Mail: [email protected]
Internet: http://www.berges.de
------------------------------------------------------------------------------------------------------
USt ID-Nr.: DE122 546 223
Handelsregister: Registergericht Köln HRA 16990
Komplementär: BERGES Antriebstechnik GmbH
Handelsregister: Registergericht Köln HRB 38484
Geschäftsführer: Dipl.-Kfm. Dietmar Sarstedt, Karl-Heinz Georg
-----------------------------------------------------------------------------------------------------"

Und der nächste Makrovirus mit Trojaner: 13042092.doc vom gefälschten Absender Berges Antriebstechnik.
Auch hier gilt: ungesehen löschen!
AVware LooksLike.Macro.Malware.gen!d3 (v)
Arcabit HEUR.VBA.Trojan
F-Secure Trojan:W97M/MaliciousMacro.GEN
GData Macro.Trojan-Downloader.Agent.KF
VIPRE LooksLike.Macro.Malware.gen!d3 (v)

Wieder Trojaner per Makrovirus: Rechnung 31074445 – Auftrag: 530655 – Ihre Bestellung: telef. Fa. Heitmann Metallhandel

"Von: [email protected] [mailto:[email protected]]
Gesendet: Donnerstag, 17. Dezember 2015 13:22
An: [email protected]
Betreff: Rechnung 31074445 - Auftrag: 530655 - Ihre Bestellung: telef.
gesendet von
Celine Kollmorgen
Tel: 0221/7772-274 - Fax: 0221/7772-255
--
Heitmann Metallhandel GmbH
Hansekai 3
50735 Köln
Telefon: +49 (0)221 - 77 72 - 1
Telefax: +49 (0)221 - 77 72 - 234
Registergericht: Köln
Registernummer: HRB 24078
Geschäftsführer: Werner Heitmann"

Im Anhang wieder eine Doc-Datei mit Trojaner: 31074445.DOC. Angeblich eine Rechnung der Firma Heitmann Metallhandel GmBH aus Köln. Auch das ist wieder ein Makrovirus, der einen Trojaner nachlädt.
Mail Löschen Anhang keinesfalls öffnen. Nur 6 von 53 Scannern erkennen den aktuell:
AVware LooksLike.Macro.Malware.gen!d3 (v)
Arcabit HEUR.VBA.Trojan
ESET-NOD32 VBA/TrojanDownloader.Agent.AMS
F-Secure Trojan:W97M/MaliciousMacro.GEN
GData Macro.Trojan-Downloader.Agent.FV
VIPRE LooksLike.Macro.Malware.gen!d3 (v)

Makrovirus in angeblicher Rechnung: „Rechnug vom 24.11.2014“ oder „Rechnungsnummer 24112014-278“

„Von: [email protected] oder [email protected]
Gesendet: Mittwoch, 21. Januar 2015 12:26
An: [email protected]
Betreff: Rechnug vom 24.11.2014 / Betreff: Rechnug vom 24.11.2014 /

Sehr geehrter Kunde,

Vielen Dank für die Bestellung.
Bitte überprüfen Sie die Bestellmenge, die Bestellsumme und die Lieferadresse.
Die Rechnung finden Sie im Anhang.

Bei Fragen stehen wir Ihnen gern zu Verfügung.

Mit freundlichen Grüßen

Geschäftsführer. Dirk Schirakowski ; Schütze Uwe
Vertreter Schütze Uwe ; Schirakowski Dirk
Umsatzsteuer-Identifikationsnummer gemäß § 27a
Umsatzsteuergesetz: DE189964006 Stnr.: 2636530279
Registernummer: KS HR A8707
Inhaltlich Verantwortlicher gemäß § 6 MDStV: Dirk Schirakowski“

 

Im Anhang befindet sich ein Microsoft Word Dokument mit dem Inhalt: „Please enable macroses to view the document“ und nautürlich dem Makrovirus. 😀
Was er genau macht habe ich nicht geprüft.
Rechnungen von Unternehmen, welche per E-Mail verandt werden, kommen IMMER als PDF Datei. Kein seriöses Unternehmen schreibt Rechnungen in Word. Außerdem vermeiden die meisten Unternehmen so Rechtschreibfehler wie im Betreff (Rechnug). Alle Angaben zum Unternehmen sind gefälscht, gestohlen oder erfunden.
E-Mail löschen und ignorieren!