Warnung vor „Goldeneye“ 09.12.2016, 10:44 Uhr

Schon wieder ein virtueller Erpresser im Netz

Cyber-Kriminelle scheinen gerade besonders aktiv bei Unternehmen zu sein: Nach Bekanntwerden der Angriffe auf die Telekom und ThyssenKrupp kommt nun die Warnung vor einer Erpressungs-Malware, die gezielt an Personalabteilungen geht.

Hackerangriffe häufen sich derzeit auffallend: Jetzt ist die Erpressungssoftware "Goldeneye" unterwegs, die sich hinter ein täuschend echten Bewerbung versteckt. Wer die Datei öffnet und Makros aktiviert, installiert Ransomware, die Dateien verschlüsselt. Anschließend geht eine Lösegeldforderung ein.

Hackerangriffe häufen sich derzeit auffallend: Jetzt ist die Erpressungssoftware "Goldeneye" unterwegs, die sich hinter ein täuschend echten Bewerbung versteckt. Wer die Datei öffnet und Makros aktiviert, installiert Ransomware, die Dateien verschlüsselt. Anschließend geht eine Lösegeldforderung ein.

Foto: Oliver Berg/dpa

Fehlerfreies Deutsch in der E-Mail, überzeugend wirkende Unterlagen in einem anhängenden PDF, sogar eine scheinbar individuell auf den Adressaten ausgelegte Betreffzeile etwa mit einer Bewerbung als Bürokauffrau: Der Angriff ist gut gemacht. Nicht unwahrscheinlich, dass so mancher Personaler derzeit darauf reinfällt. Mit dem Öffnen der Mail und des PDFs ist auch noch nichts passiert. Aber der zweite Anhang, eine Excel-Datei, enthält so genannte Ransomware, also Erpressungs-Schadsoftware.

Der Schädling namens „Goldeneye“ dringt sofort in das System und gegebenenfalls auch das Netzwerk des Empfängers ein und verschlüsselt dort abgelegte Dateien. Anschließend fordern die Angreifer, die hinter Goldeneye stecken, Lösegeld für die Entschlüsselung. Die Serie von Angriffen dieser Art beispielsweise durch „Locky“ oder zuletzt auch „Cerber“ reißt also nicht ab, und Goldeneye ist alles andere als neuartig. Aber die geschickt angelegten Mails, die auch sehr häufig verändert werden, machen den neuen Schädling nach Einschätzung von Experten offenbar besonders unangenehm.

Große Unternehmen im Fokus

Sobald ein Empfänger die Excel-Datei öffnet, wird er aufgefordert, die „Bearbeitungsfunktion“ zu aktivieren. Einen Klick weiter ist es passiert: Mit der Zustimmung zu dieser Aktivierung erlaubt man dem Programm, Makros zu installieren. Daraufhin erzeugt Goldeneye auf dem Rechner zwei exe-Dateien, die für die Verschlüsselung sorgen.

Die Warnung vor der neuen Malware passt in eine ganze Serie aktueller Meldungen aus den vergangenen Tagen: Zuerst die Trojaner-Attacke bei der Telekom, mit der rund 900.000 DSL-Router lahmgelegt wurden. Dann offenbarte mit ThyssenKrupp erstmals ein deutsches Großunternehmen einen konkreten Angriff, der offenbar auch technische Betriebsgeheimnisse für industrielle Großanlagen abzielte.

Zentrale von thyssenkrupp in Essen: Seit dem Frühjahr wird der Konzern massiv von Hackern angegriffen, die auch sensible Firmendaten erbeutet haben sollen.

Zentrale von thyssenkrupp in Essen: Seit dem Frühjahr wird der Konzern massiv von Hackern angegriffen, die auch sensible Firmendaten erbeutet haben sollen.

Foto: thyssenkrupp

Und nun „Goldeneye“, der sich wiederum gezielt gegen Unternehmen richtet. Dazwischen machten aber auch Meldungen von neuen Angriffsmethoden auf Privatleute die Runde – so warnte die Kölner Polizei diese Woche vor E-Mails, die angeblich von ihrer „Cyber-Abteilung“ stammen sollen und in denen der Empfänger als Beschuldigter in einem Betrugsverfahren benannt wird. Betroffene aus ganz Deutschland meldeten sich bei der Polizei in Köln. Auch hier geht es offenbar darum, Trojaner einzuschleusen.

Bereinigung ist eine Menge Arbeit

Wie immer gilt bei diesen Angriffen und auch bei Goldeneye: Wer keinen Anhang öffnet, ist sicher. Hat man sich aber doch hinreißen lassen, bedeutet das Arbeit, denn die meisten Anti-Viren-Programmen können den Trojaner bislang nicht erkennen und mithin auch nicht abwehren.

Zunächst muss man also den Trojaner entfernen. Dazu empfiehlt die Redaktion des Fachmagazins Chip, den befallenen Rechner vom Netz zu trennen, sich über einen anderen Computer einen Multi-Virenscanner wie Sardu herunterzuladen und diesen entsprechend über den verseuchten Rechner laufen zu lassen. Anschließend müsse die Verschlüsselung geknackt werden. Das ist bei neuen Trojanern nicht so einfach, aber laut „Chip“ gibt es durchaus verschiedene schon bewährte Ransomware-Decryptor-Angebote, etwa von Kaspersky.

Wenn aber nur noch die Lösegeldforderung erscheint und der Rechner komplett blockiert ist, muss das gesamte System neu installiert werden. Ob man dann mit Rettungstools noch Daten zurückholen kann, ist fraglich. Deshalb gilt auch hier die alte Regel: Von wichtigen Dateien immer ein Backup anlegen …

Wie Sie Trojaner von ihrem Smartphone oder Tablet wieder loswerden, lesen Sie hier.

Top Stellenangebote

Universitätsklinikum Magdeburg A.ö.R-Firmenlogo
Universitätsklinikum Magdeburg A.ö.R Planungsingenieur (m/w) Bau Magdeburg
ZITiS - Zentrale Stelle für Informationstechnik im Sicherheitsbereich-Firmenlogo
ZITiS - Zentrale Stelle für Informationstechnik im Sicherheitsbereich Leitung (m/w) des Bereichs "Geschäftsfeld Big Data" München
Universitätsklinikum Magdeburg A.ö.R-Firmenlogo
Universitätsklinikum Magdeburg A.ö.R Planungsingenieur (m/w) Liegenschaftsverwaltung Magdeburg
Jungheinrich Degernpoint AG & Co. KG-Firmenlogo
Jungheinrich Degernpoint AG & Co. KG Entwicklungsingenieur (m/w) Embedded Systems Degernpoint Moosburg
rlc packaging group-Firmenlogo
rlc packaging group Produktionsplaner (m/w) Rüdersdorf bei Berlin
VISHAY ELECTRONIC GmbH-Firmenlogo
VISHAY ELECTRONIC GmbH Elektroingenieur (m/w) für den Bereich Software und Messtechnik Selb
infineon-Firmenlogo
infineon Prozessingenieur Löten (w/m) Warstein
VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.-Firmenlogo
VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V. Projektmanager (m/w) Innovationsmanagement & Research Frankfurt am Main, Berlin
über BriSS Personnel Recruitment-Firmenlogo
über BriSS Personnel Recruitment Leiter des Bereichs Rückbau kerntechnischer Anlagen NRW (m/w) Großraum Köln
Bundesministerium des Innern-Firmenlogo
Bundesministerium des Innern Leitung (m/w) des Bereichs "Geschäftsfeld Telekommunikationsüberwachung" München