Achtung! Neue Schadsoftware sperrt Ihre Dateien und Ihren Rechner.

Tom Wannenmacher, 6. Juni 2017

Eine neue Ransomware namens „Jaff“ wird per E-Mail verbreitet.

Als „Invoice“ getarnt, soll sie Nutzerinnen und Nutzer hinters Licht führen und zum Öffnen des PDF-Anhangs verleiten. Diese berichtet das Bundesamt für Sicherheit und Informationstechnik und verweist auf das LKA Niedersachsen. Aktuell wird verstärkt eine neue Ransomware per Mail verschickt, die nach Ausführung des Empfängers den Computer verschlüsselt und ein Lösegeld erpresst. Als Betreff wird in der Regel „Invoice“ mit anschließend zufälliger Nummer angegeben. Der eigentliche Mailtext wird dabei sehr kurz gehalten und fordert lediglich zum Öffnen des Anhanges auf.

Der Anhang ist eine PDF-Datei mit angehängtem Word-Dokument. Dies bedeutet, das Word-Dokument ist direkt in die PDF integriert und für den Anwender ist eigentlich nur eine PDF-Datei zu erkennen. Die Word-Datei selber enthält jedoch ein Makro, welches die eigentliche Schadsoftware aus dem Netz herunterlädt und ausführt.

Öffnet man die PDF-Datei, wird per Java-Script das Word-Dokument ausgeführt. Dies muss zuvor durch den Benutzer bestätigt werden. Im Anschluss öffnet sich Word mit dem integrierten Dokument, inklusive Marko-Warnung.

image

Wer nun die Ausführung von Makros in Word aktiviert, lädt das Makro und somit die Ransomware herunter. Im Hintergrund beginnt die Schadsoftware ihre Arbeit und verschlüsselt den Rechner und die somit angeschlossenen Netzlaufwerke.

Dieser „Umweg“ über die PDF führt hier also zunächst zu einer sinnvollen Sicherheitsabfrage, die vom Benutzer bestätigt werden muss. Für die Täter hat es aber den Vorteil, dass der Anhang (PDF-Datei) seltener durch z.B. Antivirensoftware herausgefiltert wird und im Allgemeinen als sicher angesehen wird.

Nach erfolgreicher Verschlüsselung sind die Dateien mit der Endung „.wlu“ umbenannt und es Entschlüsselungsanweisungen als html, txt und png in jedem Ordner gespeichert. (Quelle)


Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel