+49 (0)591 912 33 - 0 | info(at)rakers-computer.de | Fernwartung
  • Sage HR
  • Sophos
  • Syska
  • vmware
  • Sage Personalwirtschaft

    Integriertes Human Ressource Management System - weiterlesen...

  • Sophos Security Lösungen

    für Endpoint, Verschlüsselung, E-Mail, Internet und Netzwerk - weiterlesen...

  • Syska Finanzbuchhaltung

    Finanzsoftware für alle, die ihren Weg machen - weiterlesen...

  • VMware Virtualisierung

    Der weltweit führende Anbieter im Bereich Virtualisierung - weiterlesen...

Aktuelles

Aufgepasst: Neuer Verschlüsselungs Trojaner Goldeneye verbreitet sich rasant !!!

Golden Eye Trojaner

Wer dieser Tage eine E-Mail mit Dateianhang bekommt, sollte diese noch kritischer als sonst beäugen.

In dieser XLS-Datei versteckt sich Goldeneye. Erlauben Sie dem Schadcode unter keinen Umständen das Ausführen von Makros!

(Bild: AV-Test)

Ein bisher unbekannter Verschlüsselungstrojaner tarnt sich als Bewerbungs-E-Mail und versucht, Systeme in ganz Deutschland zu verschlüsseln. Momentan wird er von vielen Virenscannern noch nicht erkannt.

Ein neuer Verschlüsselungstrojaner treibt seit heute morgen in Deutschland sein Unwesen. Die Ransomware Goldeneye (anscheinend eine Anspielung auf die EMP-Waffe aus Pierce Brosnans erstem James-Bond-Film) wird per E-Mail verbreitet, an der eine XLS-Datei hängt. Die Mails sind als Bewerbung getarnt und in fehlerfreiem Deutsch formuliert, was die Erkennung als potenzielle Gefahr erschwert.

Öffnet der Nutzer die angehängte Excel-Datei, wird er im Dokument darum gebeten, die "Bearbeitungsfunktion" des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Tut man dies und erlaubt dem Programm so, Makros auszuführen, ist es zu spät. Der Trojaner erzeugt dann zwei EXE-Dateien, führt sie aus und verschlüsselt Daten auf dem System, um anschließend Lösegeld zu fordern.

Ähnlichkeiten zum Petya-Trojaner

Mehrere Leser von heise Security haben uns auf den Goldeneye-Trojaner hingewiesen. Der Schadcode scheint, ähnlich wie Petya und seine Ableger, den Rechner zu einem Neustart zu zwingen und dann unter Vorwand eines gefakten Chkdsk-Bildschirms die Daten zu verschlüsseln. Verschlüsselte Dateien hatten bei mindestens einem betroffenen Nutzer die Endung "uDz2j8mv". Es ist allerdings denkbar, dass diese Endung variiert. Das Virentestlabor AV-Test, welches uns Samples des Trojaners zur Verfügung gestellt hat, beobachtet rapide Veränderungen an der XLS-Datei, welche die Infektion auslöst. Das soll höchstwahrscheinlich Virenjäger auf die falsche Fährte locken.

Auf der Festplatte hinterlegt der Trojaner eine Textdatei die ankündigt, Daten seien von der "GOLDENEYE RANSOMWARE" verschlüsselt. Diese Warnung wird auch auf Netzlaufwerken abgelegt. Bisher gibt es allerdings keine Anzeichen, dass auch hier Daten verschlüsselt werden.

Momentan werden die bösartigen EXE-Dateien nach Erkenntnissen von AV-Test von nur sehr wenigen Virenscannern entdeckt. Ergebnisse beim Online-AV-Aggregator VirusTotal bestätigen dies. Bei den Excel-Dateien sieht es mit den Entdeckungsraten schon besser aus, weswegen die Drahtzieher des Trojaners diese wohl ständig ändern.

Update - 06.12.2016, 14:36 Uhr

Der Schadcode läuft ersten Erkenntnissen nach nicht auf allen Betriebssystemen. Während der Trojaner unter Windows 7, Windows 10 und Server 2008 anscheinend problemlos Daten verschlüsselt, scheint dies auf Windows Server 2012 nicht zu funktionieren.

Quelle: Heise Security

Wir sind Ausgezeichnet - Sage Winners Circle 2017

Support

Sie erreichen uns werktags von
8:00 Uhr bis 18:00 Uhr

+49 (0)591 912 33 - 0

+49 (0)591 912 33 - 99

info(at)rakers-computer.de

Connect

Wir sind Mitglied im Wirtschaftsverband Lingen