Warnung vor „Goldeneye“ 09.12.2016, 10:44 Uhr

Schon wieder ein virtueller Erpresser im Netz

Cyber-Kriminelle scheinen gerade besonders aktiv bei Unternehmen zu sein: Nach Bekanntwerden der Angriffe auf die Telekom und ThyssenKrupp kommt nun die Warnung vor einer Erpressungs-Malware, die gezielt an Personalabteilungen geht.

Hackerangriffe häufen sich derzeit auffallend: Jetzt ist die Erpressungssoftware "Goldeneye" unterwegs, die sich hinter ein täuschend echten Bewerbung versteckt. Wer die Datei öffnet und Makros aktiviert, installiert Ransomware, die Dateien verschlüsselt. Anschließend geht eine Lösegeldforderung ein.

Hackerangriffe häufen sich derzeit auffallend: Jetzt ist die Erpressungssoftware "Goldeneye" unterwegs, die sich hinter ein täuschend echten Bewerbung versteckt. Wer die Datei öffnet und Makros aktiviert, installiert Ransomware, die Dateien verschlüsselt. Anschließend geht eine Lösegeldforderung ein.

Foto: Oliver Berg/dpa

Fehlerfreies Deutsch in der E-Mail, überzeugend wirkende Unterlagen in einem anhängenden PDF, sogar eine scheinbar individuell auf den Adressaten ausgelegte Betreffzeile etwa mit einer Bewerbung als Bürokauffrau: Der Angriff ist gut gemacht. Nicht unwahrscheinlich, dass so mancher Personaler derzeit darauf reinfällt. Mit dem Öffnen der Mail und des PDFs ist auch noch nichts passiert. Aber der zweite Anhang, eine Excel-Datei, enthält so genannte Ransomware, also Erpressungs-Schadsoftware.

Der Schädling namens „Goldeneye“ dringt sofort in das System und gegebenenfalls auch das Netzwerk des Empfängers ein und verschlüsselt dort abgelegte Dateien. Anschließend fordern die Angreifer, die hinter Goldeneye stecken, Lösegeld für die Entschlüsselung. Die Serie von Angriffen dieser Art beispielsweise durch „Locky“ oder zuletzt auch „Cerber“ reißt also nicht ab, und Goldeneye ist alles andere als neuartig. Aber die geschickt angelegten Mails, die auch sehr häufig verändert werden, machen den neuen Schädling nach Einschätzung von Experten offenbar besonders unangenehm.

Große Unternehmen im Fokus

Sobald ein Empfänger die Excel-Datei öffnet, wird er aufgefordert, die „Bearbeitungsfunktion“ zu aktivieren. Einen Klick weiter ist es passiert: Mit der Zustimmung zu dieser Aktivierung erlaubt man dem Programm, Makros zu installieren. Daraufhin erzeugt Goldeneye auf dem Rechner zwei exe-Dateien, die für die Verschlüsselung sorgen.

Die Warnung vor der neuen Malware passt in eine ganze Serie aktueller Meldungen aus den vergangenen Tagen: Zuerst die Trojaner-Attacke bei der Telekom, mit der rund 900.000 DSL-Router lahmgelegt wurden. Dann offenbarte mit ThyssenKrupp erstmals ein deutsches Großunternehmen einen konkreten Angriff, der offenbar auch technische Betriebsgeheimnisse für industrielle Großanlagen abzielte.

Zentrale von thyssenkrupp in Essen: Seit dem Frühjahr wird der Konzern massiv von Hackern angegriffen, die auch sensible Firmendaten erbeutet haben sollen.

Zentrale von thyssenkrupp in Essen: Seit dem Frühjahr wird der Konzern massiv von Hackern angegriffen, die auch sensible Firmendaten erbeutet haben sollen.

Foto: thyssenkrupp

Und nun „Goldeneye“, der sich wiederum gezielt gegen Unternehmen richtet. Dazwischen machten aber auch Meldungen von neuen Angriffsmethoden auf Privatleute die Runde – so warnte die Kölner Polizei diese Woche vor E-Mails, die angeblich von ihrer „Cyber-Abteilung“ stammen sollen und in denen der Empfänger als Beschuldigter in einem Betrugsverfahren benannt wird. Betroffene aus ganz Deutschland meldeten sich bei der Polizei in Köln. Auch hier geht es offenbar darum, Trojaner einzuschleusen.

Bereinigung ist eine Menge Arbeit

Wie immer gilt bei diesen Angriffen und auch bei Goldeneye: Wer keinen Anhang öffnet, ist sicher. Hat man sich aber doch hinreißen lassen, bedeutet das Arbeit, denn die meisten Anti-Viren-Programmen können den Trojaner bislang nicht erkennen und mithin auch nicht abwehren.

Zunächst muss man also den Trojaner entfernen. Dazu empfiehlt die Redaktion des Fachmagazins Chip, den befallenen Rechner vom Netz zu trennen, sich über einen anderen Computer einen Multi-Virenscanner wie Sardu herunterzuladen und diesen entsprechend über den verseuchten Rechner laufen zu lassen. Anschließend müsse die Verschlüsselung geknackt werden. Das ist bei neuen Trojanern nicht so einfach, aber laut „Chip“ gibt es durchaus verschiedene schon bewährte Ransomware-Decryptor-Angebote, etwa von Kaspersky.

Wenn aber nur noch die Lösegeldforderung erscheint und der Rechner komplett blockiert ist, muss das gesamte System neu installiert werden. Ob man dann mit Rettungstools noch Daten zurückholen kann, ist fraglich. Deshalb gilt auch hier die alte Regel: Von wichtigen Dateien immer ein Backup anlegen …

Wie Sie Trojaner von ihrem Smartphone oder Tablet wieder loswerden, lesen Sie hier.

Top Stellenangebote

DSK Deutsche Stadt- und Grundstücksentwicklungsgesellschaft mbH & Co. KG-Firmenlogo
DSK Deutsche Stadt- und Grundstücksentwicklungsgesellschaft mbH & Co. KG Projektbearbeiter (m/w) Stadtentwicklung Bielefeld
WACKER-Firmenlogo
WACKER Ingenieur (w/m) für das Bauwesen mit dem Schwerpunkt Hochbau / Konstruktiver Ingenieurbau Burghausen
Kistler Instrumente GmbH-Firmenlogo
Kistler Instrumente GmbH Key Account Manager (m/w) Qualitätsüberwachung im Bereich Automotive Manufacturing Sindelfingen, Home-Office
Cargill GmbH-Firmenlogo
Cargill GmbH Project & Process Engineering Manager (m/f) Hamburg-Harburg
THOST Projektmanagement GmbH-Firmenlogo
THOST Projektmanagement GmbH Scheduler / Project Planner (m/f) Stockholm, Västerås (Schweden)
Landeshauptstadt München-Firmenlogo
Landeshauptstadt München Planer/innen für ITK-Netzwerktechnik München
Giesecke + Devrient Currency Technology GmbH-Firmenlogo
Giesecke + Devrient Currency Technology GmbH Diplom-Ingenieur / Bachelor / Master für Maschinenbau (m/w) Leipzig
Landeshauptstadt München-Firmenlogo
Landeshauptstadt München Mitarbeiter/innen für Energiemanagement und Anlagenoptimierung in städtischen Gebäuden München
Peek & Cloppenburg KG-Firmenlogo
Peek & Cloppenburg KG Projektleiter (M/W) Facility Management Baubereich Düsseldorf
Schweizer Electronic AG-Firmenlogo
Schweizer Electronic AG Qualitätsingenieur (m/w) Schwerpunkt Messtechnik-Leistungselektronik Schramberg