Schrift:
Ansicht Home:
Netzwelt

Ransomware "Ordinypt"

Erpresser verstecken Trojaner in Bewerbungs-E-Mails

Betrüger verschicken tückische E-Mails an Personalabteilungen in Deutschland. Hinter einer scheinbar harmlosen Bewerbung verbirgt sich ein perfider Erpresser-Schadcode.

Corbis

Computer

Freitag, 10.11.2017   15:43 Uhr

Sie nennt sich Viktoria Henschel und bewirbt sich scheinbar auf eine offene Stelle in einem Unternehmen. Doch im Anhang der harmlos wirkenden E-Mail versteckt sich ein Schadcode, der Dateien auf dem Rechner verschlüsselt und unbrauchbar macht. Sicherheitsexperten des Softwarekonzerns G-Data warnen vor dieser Masche, mit der Betrüger offenbar vor allem Personalabteilungen täuschen wollen.

In einem Blogbeitrag warnt G-Data von der neuen Ransomware namens "Ordinypt", die auf Windows-Rechner abzielt. Der Trojaner versteckt sich demnach im Anhang von E-Mails, die kaum von echten Bewerbungen zu unterscheiden sind. Die E-Mails sehen professionell aus, das "Ordinypt"-Anschreiben ist in flüssigem Deutsch verfasst, heißt es weiter. Im Anhang liegen ein Foto und vermeintliche Bewerbungsunterlagen in einer Zip-Datei. Tatsächlich verbirgt sich in dieser Datei aber der Schadcode.

Sobald der Empfänger den Anhang öffnet, wird der Trojaner aktiviert und verschlüsselt die Dateien auf der Festplatte, wie Sicherheitsforscher von G-Data beschreiben. Ein Erpresserschreiben öffnet sich und weist den Nutzer darauf hin, dass seine Daten unbrauchbar gemacht worden sind.

Dateien der Opfer gehen verloren

Nur mit einer speziellen Entschlüsselungssoftware sei es möglich, die Dateien zu retten. Dafür verlangen die Betrüger offenbar ein Lösegeld in Höhe von 0,12 Bitcoin, was mehr als 700 Euro entspricht. Die angegebene Bitcoin-Adresse, an die das Geld überwiesen werden soll, werde jedes Mal neu generiert, um keine Spuren zu hinterlassen.

Fotostrecke

Fotostrecke: Schadcode statt Lebenslauf

Am Ende des Erpresserschreibens versprechen die Betrüger den Opfern Hilfe, wie Screenshots von G-Data zeigen. In dem Schreiben heißt es unter der Überschrift "Bonus", dass die Nutzer nach erfolgreicher Überweisung darauf hingewiesen würden, "wie die Schadsoftware auf Ihr System gelangen konnte, und wie Sie sich in Zukunft vor weiteren Übergriffen schützen können".

Allerdings gibt es laut G-Data keine Chance, die Daten zu retten. Demnach werden die verschlüsselten Dateien zuvor auf einen Bruchteil der ursprünglichen Größe geschrumpft. Wer Lösegeld gezahlt habe und auf eine Rettung der Daten gehofft habe, werde feststellen, "dass die Daten tatsächlich unwiederbringlich verloren sind", heißt es bei G-Data.

Allgemeine Bedrohung durch Ransomware

In den vergangenen Jahren ist Erpressung durch Ransomware bei Betrügern immer beliebter geworden. Vor allem die Schadsoftware "WannaCry" und "Petya" haben für Aufsehen gesorgt, weil sie unter anderem auch Krankenhäuser lahmlegten.

Ransomware gilt als eine der großen aktuellen Bedrohungen im Bereich der IT-Sicherheit. Laut dem Bundesamt für Sicherheit in der Informationstechnik kämpfen Sicherheitsexperten gegen eine Flut von Erpressersoftware.

Erpresser-Viren - wie kann ich mich schützen?

Seien Sie vorsichtig mit E-Mail-Anhängen
Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Worddokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Völlige Sicherheit lässt sich so aber nicht erreichen: Auch als "drive-by", also einfach beim Besuch einer Website kann man sich Ransomware einfangen. Es traf sogar schon Leser von Seiten wie Nytimes.com und BBC.com.
Daten per Back-up sichern
Ransomware-Trojaner verschlüsseln Ihre Dateien oft so gut, dass sie dauerhaft unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit Sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, wie eine externe USB-Platte. Auch ein Cloud-Back-up kann sinnvoll sein - das sollte man dann aber sicher verschlüsseln.
Verwenden Sie aktuelle Software
Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.
Benutzen Sie aktuelle Virenschutz-Software
Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen. Diverse Anbieter haben auch kostenlose Versionen ihrer Schutzsoftware im Programm, die zumindest einen Basisschutz bieten, und bereits bekannte Virensignaturen erkennen.

jbr

insgesamt 2 Beiträge
Tr1umph 10.11.2017
1. BitCoins sollte man Verbieten!
Solche Etpressungstrojaner sind erst durch BitCoins und anderes CryptoGeld möglich geworden. Anonym Geld empfangen zu können war schon immer der feuchte Traum eines jeden Erpressers. Digitale Währungen bieten sogar die [...]
Solche Etpressungstrojaner sind erst durch BitCoins und anderes CryptoGeld möglich geworden. Anonym Geld empfangen zu können war schon immer der feuchte Traum eines jeden Erpressers. Digitale Währungen bieten sogar die Möglichkeit einer zu 100% automatisieren Geldannahme. Anonym natürlich. Das ermöglicht Massenerpressungen wie diese hier. CryptoGeld liest man eigentlich nur im Zusammenhang mit negativen Schlagzeilen: Diebstahl, Erpressung, Drogen- Waffen- KP-Märkte, Spekulationen, lahmgelegte Krankenhäuser/Betriebe/Behörden, Steuerhinterziehung ... Ja, die Technologie ist neu, innovativ und funktioniert. ABER sie richtet deutlich mehr Schaden an, als dass sie nützt. Wann setzt man dieser Gefahr endlich ein Ende?
grubers_bruder 10.11.2017
2. Keine zip dateien öffnen?!
Seit wann darf man keine zip Dateien mehr öffnen? Ohne das Archiv zu öffnen weiß ich doch gar nicht was drin ist. Ein anderer Artikel scheint da mehr Klarheit zu bringen, Zitat: „In der ZIP-Datei finden sich wohl [...]
Seit wann darf man keine zip Dateien mehr öffnen? Ohne das Archiv zu öffnen weiß ich doch gar nicht was drin ist. Ein anderer Artikel scheint da mehr Klarheit zu bringen, Zitat: „In der ZIP-Datei finden sich wohl zwei .exe-Dateien, die durch Doppel-Extensions (xxx.PDF.EXE) und Icons maskiert werden.“

Artikel

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
TOP