{"id":184685,"date":"2016-12-07T00:23:00","date_gmt":"2016-12-06T23:23:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=184685"},"modified":"2024-03-14T16:28:19","modified_gmt":"2024-03-14T15:28:19","slug":"ransomware-goldeneye-zielt-auf-personalabteilungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/12\/07\/ransomware-goldeneye-zielt-auf-personalabteilungen\/","title":{"rendered":"Ransomware Goldeneye zielt auf Personalabteilungen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Achtung, seit dem fr\u00fchen Morgen (4 Uhr, 6.12.2016) l\u00e4uft eine Ransomware-Kampagne, die gezielt auf Personalabteilungen in Unternehmen abzielt. Ein Verschl\u00fcsselungstrojaner Goldeneye kommt in einem Anhang zu einer Bewerbungs-Mail.<\/p>\n<p><!--more--><\/p>\n<p>Was waren das noch Zeiten, als Bewerbungen per Post auf Briefpapier an Personaler verschickt wurden. Heute kommen Bewerbungen per E-Mail und die Unterlagen stecken in Dateianh\u00e4ngen. Genau dies machen sich Cyber-Kriminelle in der neuesten Ransomware-Kampagne zunutze.<\/p>\n<h3>Fehlerfrei verfasste \"Bewerbung\"<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/dfa719cf00c249e0b1927be07f7f9ce4\" alt=\"\" width=\"1\" height=\"1\" \/>Die Empf\u00e4nger in den deutschen Personalabteilungen erhalten eine vorgebliche Bewerbungsmail, der eine Excel XLS-Datei <em>Bewerbung \u2026.xls <\/em>angeh\u00e4ngt ist.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"E-Mail mit Ransomware\" src=\"https:\/\/www.bleepstatic.com\/images\/news\/u\/986406\/Ransomware\/Petya\/spam-email.png\" alt=\"E-Mail mit Ransomware\" width=\"602\" height=\"446\" \/><br \/>\n(Quelle: <a href=\"https:\/\/web.archive.org\/web\/20220119114433\/https:\/\/www.bleepingcomputer.com\/news\/security\/petya-ransomware-returns-with-goldeneye-version-continuing-james-bond-theme\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a>)<\/p>\n<p>Die Namen der XLS-Anh\u00e4nge wechseln dabei (<a href=\"https:\/\/web.archive.org\/web\/20220119114433\/https:\/\/www.bleepingcomputer.com\/news\/security\/petya-ransomware-returns-with-goldeneye-version-continuing-james-bond-theme\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a> gibt folgende Dateinamen an: Wiebold-Bewerbung.xls, Meinel-Bewerbung.xls, Seidel-Bewerbung.xls, W\u00fcst-Bewerbung.xls, Born-Bewerbung.xls, Schlosser-Bewerbung.xls etc.). Als Absender scheint eine Variation der Mail-Adresse <em>rolf.drescher@\u2026<\/em> zu fungieren. Dies ist aber eine gef\u00e4lschte Absenderangabe. Bei heise.de <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html\" target=\"_blank\" rel=\"noopener\">spekuliert man hier<\/a>, dass es sich um eine Racheaktion handeln k\u00f6nnte, da das Ingenieurb\u00fcro von Rolf Drescher Hilfe zur Entschl\u00fcsselung per Petya-Trojaner verschl\u00fcsselter Datentr\u00e4ger anbietet.<\/p>\n<p>In der Bewerbungsmail Mail wird darauf hingewiesen, das die Details der Bewerbung in der anh\u00e4ngenden Excel-Datei Datei zu finden seien.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/aTeGxJI.jpg\"><img decoding=\"async\" title=\"Excel-Dokument\" src=\"https:\/\/i.imgur.com\/aTeGxJI.jpg\" alt=\"Excel-Dokument\" \/><\/a><br \/>\n(Quelle: malwr.com)<\/p>\n<p>\u00d6ffnet der Empf\u00e4nger die Excel-Datei, wird er aufgefordert, diese zur Bearbeitung freizugeben (siehe obiger Screenshot). Bei malwr.com finden sich Hinweise zu diesem Mail-Anhang. Zwischenzeitlich gibt es von <a href=\"https:\/\/twitter.com\/certbund\" target=\"_blank\" rel=\"noopener\">CERT-Bund<\/a> eine Warnung <a href=\"https:\/\/twitter.com\/certbund\/status\/806104277039058944\" target=\"_blank\" rel=\"noopener\">per Twitter<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"de\">Achtung Personaler: Angebliche Bewerbungsmails m korrekter Anrede im Umlauf &#8211; \"Bewerbung.xls\" infiziert das System mit Goldeneye <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash\">#Ransomware<\/a> <a href=\"https:\/\/t.co\/xChxMIzywQ\">pic.twitter.com\/xChxMIzywQ<\/a><\/p>\n<p>\u2014 CERT-Bund (@certbund) <a href=\"https:\/\/twitter.com\/certbund\/status\/806104277039058944\">6. Dezember 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Bei heise.de schreibt man <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html\" target=\"_blank\" rel=\"noopener\">hier<\/a>, dass die Mails wohl personalisiert seien und auf existierende Stellenanzeigen Bezug nehmen. Zudem werden wohl E-Mail-Adressen von Empf\u00e4ngern verwendet, die in den Stellenanzeigen nicht aufgef\u00fchrt werden. Das bedeutet, dass die Cyber-Kriminellen das Umfeld der Personalabteilungen der jeweiligen Empf\u00e4ngerfirmen ausgekundschaftet haben m\u00fcssen. Wie genau, ist noch unbekannt (es gibt <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant\/Kurzer-Erfahrungsbericht\/posting-29602568\/show\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> wohl den Verdacht, dass \u00f6ffentliche Datenbanken der Arbeitsagentur verwendet wurden). Nachtrag: heise.de <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Goldeneye-nutzt-Informationen-vom-Arbeitsamt-fuer-aeusserst-gezielte-Angriffe-3564386.html\" target=\"_blank\" rel=\"noopener\">berichtet<\/a>, dass Goldeneye gezielt Daten der Arbeitsagentur f\u00fcr die Ansprache der E-Mail-Empf\u00e4nger nutzt.<\/p>\n<p>Bei heise.de findet sich die R\u00fcckmeldung von Lesern, dass der E-Mail in einigen F\u00e4llen noch eine PDF-Datei beilag, die wie eine legitime Bewerbung auf eine Stellenausschreibung wirke. Auch gibt es Berichte von Lesern (<a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant\/Wow-Scheisse-gut-gemacht\/posting-29605541\/show\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> und <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant\/Der-Trojaner-beinhaltet-massgeschneiderte-Firmennamen-Anreden-und-Berufe\/posting-29602476\/show\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>), dass in der PDF-Datei die Empf\u00e4nger mit korrektem Namen angesprochen werden und deren Telefonnummer genannt sei. Es m\u00fcssen also detaillierte Informationen vorliegen und der Aufwand, den die Kriminellen betreiben, ist wohl recht hoch.<\/p>\n<h3>Makro mit Schadfunktion startet Verschl\u00fcsselungstrojaner<\/h3>\n<p>Kommt der Benutzer dieser Aufforderung nach, wird die Makroausf\u00fchrung in Excel aktiviert. Dann erzeugt ein Schadmakro wohl zwei .exe-Dateien, die ausgef\u00fchrt werden und Dokumente auf dem System des Benutzers verschl\u00fcsseln. Dabei gibt es Berichte, dass die Verschl\u00fcsselung nach einem erzwungenen Neustart erfolgt. Bei <a href=\"https:\/\/web.archive.org\/web\/20220119114433\/https:\/\/www.bleepingcomputer.com\/news\/security\/petya-ransomware-returns-with-goldeneye-version-continuing-james-bond-theme\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a> findet sich der Hinweis, dass erst verschl\u00fcsselt werde, und dann versucht wird, einen neuen Master Boot Record zu schreiben. Deckt sich auch mit <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant\/Re-Kurzer-Erfahrungsbericht\/posting-29603210\/show\/\" target=\"_blank\" rel=\"noopener\">diesem Bericht<\/a>. Einige Betroffene konnten den Rechner abschalten, so dass nicht alles verschl\u00fcsselt wurde \u2013 <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant\/Befasse-mich-gerade-damit\/posting-29602331\/show\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> gibt es einen Erfahrungsbericht.<\/p>\n<p>Der genaue Ablauf ist aber auch egal \u2013 sobald verschl\u00fcsselt wurde, findet der Gesch\u00e4digte entsprechende Hinweise auf seiner Festplatte. Auf Trojanerboard.de hat ein Betroffener <a href=\"http:\/\/www.trojaner-board.de\/183354-goldeneye-ransomware.html\" target=\"_blank\" rel=\"noopener\">folgende Meldung der Ransomware gepostet<\/a>:<\/p>\n<blockquote><p>You became victim of the GOLDENEYE RANSOMWARE!<br \/>\nThe files on your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.<br \/>\nTo purchase your key and restore your data, please follow these three easy steps:<br \/>\n1. Download the Tor Browser at \"https: \/\/ www.torproject.org\/\". If you need help, please google for \"access onion page\".<br \/>\n2. Visit one of the following pages with the Tor Browser:<br \/>\nhxxp:\/\/ golden5a4eqranh7 dot onion\/pktumvk3<br \/>\nhxxp:\/\/goldeny4vs3nyoht dot .onion\/pktumvk3<br \/>\n3. Enter your personal decryption code there:<br \/>\npktumvk3WGLcmArQ23vMpLiKGedtWZF\u2026.<\/p><\/blockquote>\n<p>Die Erpresser geben dem Opfer vor, sich per Tor-Browser an einer aufgesetzten Webseite anzumelden und den vom Trojaner generierten Decryption-Code einzugeben. Auf den genannten Webseiten wird dann\u00a0 wohl die L\u00f6segeldsumme genannt, die zur Entschl\u00fcsselung der Daten zu zahlen ist. Bei <a href=\"https:\/\/web.archive.org\/web\/20220119114433\/https:\/\/www.bleepingcomputer.com\/news\/security\/petya-ransomware-returns-with-goldeneye-version-continuing-james-bond-theme\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a> finden sich weitere Hinweise und Screenshots. Dort werden in einem Screenshot 1,33\u2026 Bitcoins (ca. 950 Euro) gefordert. Ob es nach Zahlung einen Entschl\u00fcsselungscode gibt, ist aber fraglich.<\/p>\n<h3>Betroffene Systeme<\/h3>\n<p>Laut <a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/806399267187343361\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a> des Malware-Hunter-Teams hat es in Deutschland am Nikolaustag wohl um die 160 Firmen getroffen, w\u00e4hrend der Verschl\u00fcsselungstrojaner Locky in den besten Tagen in \u00fcber 30 L\u00e4ndern wohl nur 375 Nutzer \u00fcberrumpeln konnte.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">So, the new Petya version got nice numbers:<br \/>\nGoldenEye yesterday (only Germany): ~160.<br \/>\nLocky's best day past month (over 30 countries): ~375.<\/p>\n<p>\u2014 MalwareHunterTeam (@malwrhunterteam) <a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/806399267187343361\">7. Dezember 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die Leute messen wohl, wie oft Betroffene eine Analyse des Sch\u00e4dlings zur Identifizierung hochgeladen haben (die Zahlen k\u00f6nnen also verf\u00e4lscht sein und die Dunkelziffer mag h\u00f6her liegen).<\/p>\n<p>Aktuell scheinen aber bereits einige Virenscanner den Schadcode zu erkennen (siehe <a href=\"https:\/\/web.archive.org\/web\/20170323153603\/https:\/\/virustotal.com\/en\/file\/b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690\/analysis\/\" target=\"_blank\" rel=\"noopener\">Virustotal<\/a>). Viele Virenscanner haben den Sch\u00e4dling aber noch nicht in ihrer Signaturdatenbank. Allerdings gibt es Hinweise von AV-Testlabor.de, dass die XLS-Datei wohl st\u00e4ndig modifiziert werde, um die Erkennung von AV-Scannern auszutricksen.<\/p>\n<p>Wie heise.de <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html\" target=\"_blank\" rel=\"noopener\">schreibt<\/a>, sind wohl Rechner mit Windows 7, Windows 10 und Windows Server 2008 anf\u00e4llig f\u00fcr die Schadsoftware. Unter Windows Server 2012 soll laut heise.de die Verschl\u00fcsselung derzeit nicht zu funktionieren. In <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant\/Verschluesselt-auch-unter-W2K12-R2\/posting-29602905\/show\/\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> wird aber ausgef\u00fchrt, dass die Verschl\u00fcsselung auch unter Windows Server 2012 R2 funktioniere.<\/p>\n<p>Die Abhilfe d\u00fcrfte in Firmenumgebungen die Deaktivierung von Makros f\u00fcr Office sein (<a href=\"https:\/\/support.office.com\/de-de\/article\/Aktivieren-oder-Deaktivieren-von-Makros-in-Office-Dokumenten-7b4fdd2e-174f-47e2-9611-9efe4f860b12\" target=\"_blank\" rel=\"noopener\">Office 2007<\/a>, <a href=\"https:\/\/support.office.com\/de-de\/article\/Aktivieren-oder-Deaktivieren-von-Makros-in-Office-Dateien-12b036fd-d140-4e74-b45e-16fed1a7e5c6\" target=\"_blank\" rel=\"noopener\">Office 2016<\/a>, <a href=\"https:\/\/www.administrator.de\/frage\/microsoft-office-makros-generell-gpo-deaktiviert-benutzer-aktivieren-297096.html\" target=\"_blank\" rel=\"noopener\">Hinweis bei administrator.de<\/a>, <a href=\"https:\/\/web.archive.org\/web\/20221204115820\/https:\/\/www.matthias-staud.de\/2016\/03\/microsoft-office-makros-per-gruppenrichtlinie-gpo-abstellen-zum-schutz-vor-ransomware-und-anderen-schaedlingen\/\" target=\"_blank\" rel=\"noopener\">Makros per GPO blocken<\/a>, <a href=\"https:\/\/www.heise.de\/security\/meldung\/Erpressungs-Trojaner-fernhalten-Mit-Windows-Bordmittel-Makros-in-Office-2016-global-verbieten-3149377.html\" target=\"_blank\" rel=\"noopener\">Beitrag bei heise.de<\/a>) zumal die Makros f\u00fcr interne Dokumente ja in Ordner gelegt werden k\u00f6nnen, die \u00fcber vertrauensw\u00fcrdige Pfade zur Ausf\u00fchrung festgelegt werden k\u00f6nnen.<\/p>\n<blockquote><p>Administratoren in Firmen k\u00f6nnten sich <a href=\"https:\/\/www.heise.de\/forum\/heise-Security\/News-Kommentare\/Erpressungs-Trojaner-Locky-setzt-auf-zzzzz-Endung-Cerber-geht-in-Version-5-0-1-um\/Re-Ich-verstehe-es-immer-noch-nicht\/posting-29562094\/show\/\" target=\"_blank\" rel=\"noopener\">diesen Kommentar<\/a> bei heise.de im Forum ansehen. Dort werden einige Ma\u00dfnahmen vorgeschlagen, wie man das Thema E-Mail mit Anhang entsch\u00e4rfen kann.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/12\/06\/malware-warnung-vor-cyber-abteilung-polizei-mails\/\">Malware-Warnung vor \"Cyber-Abteilung Polizei\"-Mails<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/12\/02\/kangaroo-ransomware-verschlsselt-und-sperrt-aus\/\">Kangaroo Ransomware verschl\u00fcsselt und sperrt aus<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/11\/30\/betrger-scammer-setzen-auf-ransomware\/\">Betr\u00fcger (Scammer) setzen auf Ransomware<\/a><br \/>\nDecryptor f\u00fcr Crysis-Ransomware von ESET<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/11\/22\/neues-zu-ransomware-locky-variante-und-princesslocker\/\">Neues zu Ransomware: Locky-Variante und PrincessLocker<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/11\/21\/facebook-ransomware-kommt-als-svg-bild-getarnt\/\">Facebook-Ransomware kommt als .svg-Bild getarnt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/11\/17\/karma-ransomware-kommt-als-pup-im-beipack-mit-software\/\">Karma-Ransomware kommt als PUP im Beipack mit Software<\/a><br \/>\nNeues: Ransomware Hades Locker &amp; FileiceRansomware<br \/>\nDer Einfluss von Ransomware-Angriffen auf Unternehmen<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Achtung, seit dem fr\u00fchen Morgen (4 Uhr, 6.12.2016) l\u00e4uft eine Ransomware-Kampagne, die gezielt auf Personalabteilungen in Unternehmen abzielt. Ein Verschl\u00fcsselungstrojaner Goldeneye kommt in einem Anhang zu einer Bewerbungs-Mail.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4715,1107,2783,1228,3288],"class_list":["post-184685","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-ransomware","tag-trojaner","tag-verschlusselung","tag-warnung","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184685","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=184685"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184685\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=184685"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=184685"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=184685"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}