Unternehmen werden durch Bewerberscheiben per E-Mail gezielt mit der neuen Schadsoftware „Petya“ angegriffen und erpresst
München – Seit vergangenem Gründonnerstag werden Unternehmen gezielt mit einer neuen Ransomware, also mit einer Schadsoftware mit Erpressungsfunktion angegriffen. Wie bereits in der Warnmeldung des BLKA vom 30.10.2015, in der die Schadsoftware „Chimera“ problematisiert wurde, handelt es sich nun erneut um einen Verschlüsselungstrojaner, der sich als Bewerbungsschreiben getarnt gezielt an Unternehmen und Behörden richtet.
Per E-Mail werden über verschiedene Absenderadressen, meist mit der Domainendung
„…@net-24.at“
diverse seriös wirkende Bewerbungsangebote an Mitarbeiter in Unternehmen, insbesondere an die zuständigen Personalabteilungen, gesendet. In der E-Mail selbst gibt der vermeintliche Bewerber an, aufgrund der Dateigröße seine vollständige Bewerbungsmappe in seinem Online-Speicher beim Dienstanbieter Dropbox zum Download bereitgestellt zu haben. Durch einen Klick auf den angegebenen Link solle man diese Dateien herunterladen.
Der Text der E-Mail lautet meist wie folgt:
Von: Max Mustermann [Max.Mustermann.01@net-24.at]
Gesendet: Donnerstag, 24.März 2016 09:35
Betreff: Bewerbung als …
Sehr geehrte Damen und Herren,
da ich auf der Suche nach einer neuen beruflichen Herausforderung bin, möchte ich mich hiermit bei Ihnen um eine Stelle als … bewerben.
…
Über ein persönliches Gespräch freue ich mich sehr.
Mit freundlichen Grüßen
Max Mustermann
Anhänge:
Zertifikate, Arbeitszeugnis u Lebenslauf
Die vollständige Bewerbungsmappe habe ich in meine Dropbox geladen, weil die Datei für die Email zu groß war – Entschuldigen Sie bitte!
(Hier ist dann der Link angegeben, der auf die angebliche Bewerbungsmappe verweist.)
Folgt man dem Link, so gelangt man auf eine Internetseite, wo sich neben einem freundlichen Bewerbungsfoto die besagten scheinbaren Bewerbungsunterlagen – meist mit dem Dateinamen „Bewerbungsmappe-gepackt.exe“ – befinden. In Wirklichkeit handelt es sich bei der angezeigten ausführbaren Datei allerdings um die neue Schadsoftware „Petya“. Wird diese Datei nun heruntergeladen und geöffnet, beginnt „Petya“ im Hintergrund mit dem Verschlüsseln sämtlicher lokaler und über das Netzwerk erreichbarer Dateien.
Der Unterschied zur damals angesprochenen Schadsoftware „Chimera“ besteht nun darin, dass direkt der Bootsektor (MBR) der Festplatte verändert und hiernach der Betroffene durch einen von „Petya“ provozierten Bluescreen zum Neustart des Systems bewogen wird. Nach dem Neustart lädt der Rechner nun allerdings nicht mehr das installierte Windows-Betriebssystem, sondern der Betroffenen bekommt einen Totenschädel angezeigt, welcher als eine Art Markenzeichen von „Petya“ angesehen werden kann.
Anschließend fordert der Täter die Opfer auf, über das Tor-Netzwerk einen individuellen Key zur Entschlüsselung der Dateien zu erwerben. Der Betrag beläuft sich aktuell auf 0,9 Bitcoin (~ 350 EUR).
Das BLKA rät:
- Gehen Sie sehr sensibel mit unbekannten E-Mails und deren Anhängen um und schulen Sie Ihre Mitarbeiter
- Halten Sie Ihr Computersystem und professionelle Antivirensoftware immer auf dem neuesten Stand
- Arbeiten Sie nicht mit Administrationsrechten, sondern mit Benutzerkonten mit eingeschränkten Rechten
- Erstellen Sie regelmäßig Backups und bewahren Sie diese getrennt vom Netzwerk auf
- Um möglichen Schaden zu begrenzen, empfiehlt es sich, unbekannte E-Mail-Anhänge nur von einem Computer aus zu öffnen, der nicht im Firmen-Netzwerk eingebunden ist
- Als Geschädigter erstatten Sie Anzeige bei Ihrer örtlichen Polizeidienststelle
- Bezahlen Sie nicht die geforderte Summe, da nicht gewährleistet ist, dass Sie den Entschlüsselungskey erhalten; zudem unterstützen Sie dadurch dieses kriminelle Geschäftsmodell
Sollte der von „Petya“ erzwungene Neustart des Systems verhindert werden können (z.B. durch Ziehen des Netzsteckers), so kann eine Verschlüsselung der Dateien unterbunden und der Rechner von einem IT-Experten wiederhergestellt werden.
