![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Noch eine kleine Warnung f\u00fcr Admins im Gesch\u00e4ftsumfeld: Es scheint, als ob die Grandcrab-Ransomware-Kampagne auch Deutschland erreicht. In vorgeblichen Bewerbungsschreiben wird im Anhang der Erpressungstrojaner verteilt.<\/p>\nNoch eine kleine Warnung f\u00fcr Admins im Gesch\u00e4ftsumfeld: Es scheint, als ob die Grandcrab-Ransomware-Kampagne auch Deutschland erreicht. In vorgeblichen Bewerbungsschreiben wird im Anhang der Erpressungstrojaner verteilt.<\/p>\n
<\/p>\n
Jetzt berichtet heise.de hier<\/a>, dass der Erpressungstrojaner wohl auch auf deutsche Nutzer zielt. Zumindest warnt die Polizei Niedersachen auf ihren Pr\u00e4ventionsseiten vor einer Bewerbungsmail mit Schadsoftware im Anhang<\/a>. Die Masche besteht darin, dass die Kriminellen ein fingiertes Bewerbungsschreiben mit Anhang an diverse Firmenempf\u00e4nger als Spam-Mail versenden. Hier ein Beispiel:<\/p>\n \"Bewerbung auf die ausgeschriebene Stelle – Nadine Bachert\"<\/p>\n \"Sehr geehrte Damen und Herren, Dies ist i.d.R. nicht auff\u00e4llig, da Firmen h\u00e4ufiger solche Bewerbungsschreiben erhalten. Auch Anh\u00e4nge werden bei solchen Bewerbungen mitgeschickt. Zudem ist der Mail wohl ein Foto einer jungen Dame beigef\u00fcgt. Dass das Schreiben nicht auf eine konkrete Stellenausschreibung Bezug nimmt \u2013 d\u00fcrfte so manchem Sachbearbeiter in der Personalabteilung bekannt vorkommen. Zudem k\u00f6nnte ja ein detaillierteres Anschreiben im Anhang stecken.<\/p>\n Ein Sachbearbeiter, der unachtsam die angeh\u00e4ngte ZIP-Datei zum Entpacken \u00f6ffnet, und dann die darin enthaltene .exe<\/em>-Datei unter Windows ausf\u00fchrt, startet die Ransomware. Diese beginnt sofort mit der Verschl\u00fcsselung der erreichbaren Dateien. Im Anschluss erscheint nachfolgender Text auf dem Bildschirm, mit dem die Ransomware L\u00f6segeld in Form von Bitcoin-Zahlungen erpressen will.<\/p>\n \"—= GANDCRAB V4 =— —————————————————————————<\/p>\n | 0. Laden Sie den Tor-Browser herunter – www.torproject.org<\/a> Auf unserer Seite finden Sie eine Anleitung zur Bezahlung und erhalten die M\u00f6glichkeit, 1 Datei kostenlos zu entschl\u00fcsseln. ACHTUNG! UM DATENSCHADEN ZU VERMEIDEN: * NEHMEN SIE KEINE \u00c4NDERUNGEN AN DEN VERSCHL\u00dcSSELTEN DATEIEN VOR […]\"<\/p><\/blockquote>\n Die Mail-Texte k\u00f6nnen variieren. Leider erkennen nicht alle Virenscanner und Sicherheitsl\u00f6sungen die Varianten der Schadsoftware. Hier kommt es darauf an, die Sachbearbeiter zu schulen, dass keine .exe-Dateien im Anhang einer Mail auszuf\u00fchren sind \u2013 und ggf. die Ausf\u00fchrung von Programmen proaktiv zu unterbinden. Zudem sollten Administratoren f\u00fcr ein rollierendes Backup sorgen. Die Polizei Niedersachsen r\u00e4t<\/a>, kein L\u00f6segeld zu zahlen und Anzeige zu erstatten.<\/p>\n","protected":false},"excerpt":{"rendered":" Noch eine kleine Warnung f\u00fcr Admins im Gesch\u00e4ftsumfeld: Es scheint, als ob die Grandcrab-Ransomware-Kampagne auch Deutschland erreicht. In vorgeblichen Bewerbungsschreiben wird im Anhang der Erpressungstrojaner verteilt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-208748","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208748","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=208748"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208748\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=208748"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=208748"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=208748"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Wird der Sch\u00e4dling aktiv, verschl\u00fcsselt er die Dateien des Benutzersystems und fordert L\u00f6segeld. Varianten dieses Sch\u00e4dlings sind bereits seit Anfang des Jahres unterwegs und bei Bleeping Computer gibt es so einen Decryptor<\/a> f\u00fcr \u00e4ltere Versionen. Ich hatte in den letzten Wochen bereits gesehen, dass neue Varianten des Sch\u00e4dlings im Juni\/Juli 2018 gesichtet wurden. Diese englischsprachige Webseite h\u00e4lt z.B. einige Informationen bereit, und hier<\/a> verspricht eine Webseite sogar ein Entschl\u00fcsseln der .KRAB-Dateien (\u00fcber die Seriosit\u00e4t der Angebote kann ich nichts sagen, w\u00fcrde aber eher zu 'Finger weg' tendieren). Alle Fundstellen, die mir unter die Augen kamen, bezogen sich aber auf englischsprachige Webseiten, weshalb ich das hier im Blog nicht thematisiert habe.<\/p>\n
Warnung der Polizei Niedersachsen<\/h2>\n
\nanbei erhalten Sie meine Bewerbung f\u00fcr Ihre ausgeschriebene Stelle. Warum ich die Stelle optimal ausf\u00fcllen kann und Ihrem Unternehmen durch meine Erfahrung im Vertrieb und der Kundebetreuung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausf\u00fchrlichen und angeh\u00e4ngten Bewerbungsunterlagen.
\nIch freue mich auf ein pers\u00f6nliches Vorstellungsgespr\u00e4ch.
\nMit besten Gr\u00fc\u00dfen
\nNadine Bachert\"<\/p><\/blockquote>\nWenn der Trojaner zuschl\u00e4gt<\/h2>\n
\nAchtung!
\nAlle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden verschl\u00fcsselt und haben die Dateiendung: .KRAB Die einzige Methode zum Wiederherstellen Ihrer Dateien besteht darin, Ihren pers\u00f6nlichen privaten Schl\u00fcssel zu erwerben. Nur wir k\u00f6nnen Ihnen diesen Schl\u00fcssel geben und nur wir k\u00f6nnen Ihre Dateien wiederherstellen. Die komplette Anleitung um Ihren privaten Schl\u00fcssel zu erwerben finden Sie auf unserer Webseite welche sich im TOR-Netzwerk befindet. Bitte folgen Sie diesen Schritten um auf unsere Webseite zu gelangen:<\/p>\n
\n| 1. Installieren Sie den Tor-Browser
\n| 2. \u00d6ffnen Sie den Tor-Browser
\n| 3. \u00d6ffnen Sie den folgenden Link im TOR-Browser: gandcrabmfe6mnef.onion\/c746bae0f8f8df8c
\n| 4. Folgen Sie den Anweisungen auf der Seite
\n—————————————————————————-<\/p>\n