Ransomware

Vorsicht vor Mails mit PDF-Anhang, insbesondere zur Zeit Erpressungstrojaner Jaff

Zur Zeit haben es PC-Nutzer nicht leicht. Eine Schreckensmeldung jagt die nächste. Es ist erst ein paar Tage her, da befiel die Ransomware WannaCry Tausende Computer weltweit. Nun ist ein weiterer Verschlüsselungs-Trojaner aufgetaucht.

Warnung vor verseuchten PDF-Dateien

Die meisten Leute halten PDF-Dateien für sicher. Jeden Tag werden zahllose Dateien dieses Typs als Anhänge von Geschäfts-E-Mails versandt und ohne großes Nachdenken geöffnet. In den meisten Fällen geht es gut, jedoch gehen Sie mit diesem Verhalten ein enormes Risiko ein. Ein schönes Beispiel für einen Angriff durch PDF-Dateien ist Jaff, eine neue Ransomware.

Jaff ist ein Verschlüsselungs-Trojaner, der Windows-PCs angreifen kann. Die Vorgehensweise sieht dabei wie folgt aus: Das Opfer erhält eine seriös aussehende Mail mit einem Betreff, der suggeriert, dass im Anhang eine Rechnung enthalten ist. Im Betreff taucht im Allgemeinen entweder das Wort „Invoice“, „Receipt“ oder „Payment“ auf, anschließend folgen einige Zahlen. Im Anschreiben der Mail wird der Nutzer dazu aufgefordert, die Rechnung herunterzuladen und sie zu öffnen. Hier muss der Trojaner die erste Hürde überwinden. Wenn ein infiziertes Dokument geöffnet wird, erscheint eine Sicherheitswarnung. Diese informiert Sie darüber, dass ein Word-Dokument geöffnet werden soll. Die meisten Nutzer lesen diese Warnung gar nicht erst, sondern bestätigen automatisch mit der Auswahl „OK“. Nun folgt die zweite Hürde. Ein Word-Dokument öffnet sich und fordert Sie auf, ihm die Berechtigung zu erteilen, Makros zu verwenden. Sollten Sie dieser Aufforderung Folge leisten, kann sich die Malware ungehindert ans Werk machen. Über das Internet wird Schadcode heruntergeladen und der Trojaner beginnt, die Dateien des Systems zu verschlüsseln.

Anders als bei WannaCry scheint Jaff nicht sofort das gesamte Netzwerk zu infizieren. Das ändert jedoch nichts daran, dass es sich hier um ein sehr gefährliches Stück Software handelt. Sobald der Trojaner aktiviert wurde, verschlüsselt er die lokalen Daten sowie sämtliche Daten, die über Netzwerklaufwerke an das System angebunden sind. Als Lösegeld verlangen die Erpresser 2 Bitcoins. Das entspricht zur Zeit einem Wert von etwa 4200 €. Bislang existiert noch kein Werkzeug für die Entschlüsselung.

Wie schützen Sie sich am besten vor Ransomware, die sich in PDF-Dateien versteckt?

Im Geschäftsalltag werden jeden Tag zahllose Mails verschickt. Da kann es leicht passieren, dass die alltägliche Beschäftigung zu Unaufmerksamkeit führt. Daher sollten Sie sich einige Verhaltensweisen angewöhnen, um eine Infektion Ihres Systems zu vermeiden.

Oft hört man die Behauptung, dass eine PDF-Datei ein sicheres Dateiformat sei, das bedenkenlos geöffnet werden kann. Das ist falsch. Auch über eine PDF-Datei kann mit der richtigen Technik leicht Malware in Ihr System geschleust werden. Dabei lauert nicht nur Jaff auf seine Chance. In letzter Zeit tauchen immer häufiger Trojaner auf, die es auf diesem Weg versuchen.

Die erste Maßnahme scheint banal, wird jedoch häufig nicht beachtet: Prüfen Sie immer erst den Absender einer E-Mail, bevor Sie Anhänge herunterladen oder gar öffnen! Gerade wenn es sich bei dem Anhang um eine Rechnung handelt, sollten Sie den Absender bereits kennen. Ein fremder oder gar ein fremder ausländischer Name sollte Sie stutzen lassen. Lesen Sie außerdem unbedingt das Anschreiben durch. Obwohl die Verbreiter solcher Software heutzutage immer professioneller auftreten, gibt es immer noch viele Mails mit Schadsoftware, die durch fehlerhafte Formulierungen und grauenhafte Rechtschreibung auffallen.

Wenn Sie etwas mehr Aufwand nicht scheuen, können Sie Mails auch einfach generell innerhalb einer virtuellen Maschine öffnen. Diese schließt die Malware ein und verhindert in der Regel eine Infektion des Hauptsystems. Für die Analyse von PDF-Dateien gibt es außerdem Tools wie zum Beispiel PDF Stream Dumper. Dieses untersucht die PDF-Datei auf schädlichen Code.

Post Comment