Verschlüsselungstrojaner „Goldeneye“

10. Januar 2017

Neuer Verschlüsselungstrojaner „Goldeneye“

In einigen Beiträgen wurde bereits über Erpresser Trojaner berichtet, aktuell richtet der Goldeneye Verschlüsselungstrojaner Schaden in ganz Deutschland an.

Dieser Trojaner tarnt sich als Bewerbungsschreiben und kommt in Form eines XLS Datei Anhangs per E-Mail in die Personalabteilung von Unternehmen. Er bedient sich hierbei aktueller Informationen des Arbeitsmarktes und greift gezielt die Personalabteilung an.

Beim Öffnen entsteht meist noch kein Schaden, erst wenn, wie aufgefordert, die Makrofunktion deaktiviert wird, fängt der Trojaner an, die Daten zu verschlüsseln. Wiederum wird Lösegeld verlangt und versprochen die Daten zu entschlüsseln.

Momentan werden die bösartigen EXE-Dateien nach Erkenntnissen vom AV-Test von nur sehr wenigen Virenscannern entdeckt. Bei den Excel-Dateien sieht es mit den Entdeckungsraten schon besser aus, weswegen die Drahtzieher des Trojaners diese wohl ständig ändern.

Es gibt bis dato noch kein Entschlüsselungstool, um von Goldeneye chiffrierte Dateien zu befreien. Mit einigen Tipps verhindern Sie eine Infektion aber im Vorfeld oder stoppen die Verschlüsselung frühzeitig.

Wie kann sich ein Unternehmen schützen?

  • Wenn nicht schon geschehen, sollten Admins jetzt sofort eine Warnung an alle Abteilungen schreiben, dass aktuell gefälschte Bewerbungs-Mails vom Absender dem Schema folgend „rolf.drescher@, drescher1988@“ in Umlauf sind.
  • Erst wenn ein potentielles Opfer die Excel-Tabelle öffnet und, wie im Dokument aufgefordert, die „Bearbeitungsfunktion“ (Makros) aktiviert, infiziert Goldeneye den Computer und beginnt im Hintergrund mit der Verschlüsselung der Daten. Als Schutzmaßnahme ist es zu empfehlen, die Makro-Funktion in Windows global zu deaktivieren.
  • Tauchen plötzlich Text-Dateien mit der Bezeichnung „YOUR_FILES_ARE_ENCRYPTED.TXT“ oder Dateien mit kryptischen Namen à la „uDz2j8mv“ auf Ihrem Computer auf, schalten Sie diesen umgehend hart aus. Drücken Sie dafür den Netzschalter auf der Rückseite und fahren Sie Windows nicht erst herunter. Im besten Fall können Sie den Verschlüsselungsvorgang so frühzeitig stoppen.
  • Wer ein Backup seiner Daten hat, ist für den Fall einer Ransomware-Infektion bestens gerüstet. Dann kann man, statt zu zahlen, entspannt sein Backup wieder einspielen und dem Erpressungsversuch schlicht ausweichen.

Sollten Sie Fragen haben, stehen wir Ihnen gerne zur Verfügung unter: m.kroiss@decom.at oder a.brunner@decom.at