Eine neue Ransomware namens „Jaff“ wird per E-Mail verbreitet.

- Sponsorenliebe | Werbung -

Als „Invoice“ getarnt, soll sie Nutzerinnen und Nutzer hinters Licht führen und zum Öffnen des PDF-Anhangs verleiten. Diese berichtet das Bundesamt für Sicherheit und Informationstechnik und verweist auf das LKA Niedersachsen. Aktuell wird verstärkt eine neue Ransomware per Mail verschickt, die nach Ausführung des Empfängers den Computer verschlüsselt und ein Lösegeld erpresst. Als Betreff wird in der Regel „Invoice“ mit anschließend zufälliger Nummer angegeben. Der eigentliche Mailtext wird dabei sehr kurz gehalten und fordert lediglich zum Öffnen des Anhanges auf.

Der Anhang ist eine PDF-Datei mit angehängtem Word-Dokument. Dies bedeutet, das Word-Dokument ist direkt in die PDF integriert und für den Anwender ist eigentlich nur eine PDF-Datei zu erkennen. Die Word-Datei selber enthält jedoch ein Makro, welches die eigentliche Schadsoftware aus dem Netz herunterlädt und ausführt.

Öffnet man die PDF-Datei, wird per Java-Script das Word-Dokument ausgeführt. Dies muss zuvor durch den Benutzer bestätigt werden. Im Anschluss öffnet sich Word mit dem integrierten Dokument, inklusive Marko-Warnung.

image

Wer nun die Ausführung von Makros in Word aktiviert, lädt das Makro und somit die Ransomware herunter. Im Hintergrund beginnt die Schadsoftware ihre Arbeit und verschlüsselt den Rechner und die somit angeschlossenen Netzlaufwerke.

Dieser „Umweg“ über die PDF führt hier also zunächst zu einer sinnvollen Sicherheitsabfrage, die vom Benutzer bestätigt werden muss. Für die Täter hat es aber den Vorteil, dass der Anhang (PDF-Datei) seltener durch z.B. Antivirensoftware herausgefiltert wird und im Allgemeinen als sicher angesehen wird.

Nach erfolgreicher Verschlüsselung sind die Dateien mit der Endung „.wlu“ umbenannt und es Entschlüsselungsanweisungen als html, txt und png in jedem Ordner gespeichert. (Quelle)

-Mimikama unterstützen-

Weil du diesen Bericht zu Ende gelesen hast…

Kannst du uns bitte einen kleinen Gefallen tun? Mehr Menschen denn je lesen die Artikel von mimikama.at, aber die Werbeerträge sinken rapide. Anders als andere Organisationen haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten so offen wie möglich halten. Der unabhängige Enthüllungsjournalismus von mimikama.at bedeutet jedoch harte Arbeit, er kostet eine Menge Zeit und auch Geld. Aber wir tun es, weil es wichtig und richtig ist, in Zeiten wie diesen Internetnutzer mit transparenten Informationen zu versorgen. Wir hoffen, dass du es schätzt, dass es keine Bezahlschranke gibt: Unserer Auffassung nach ist es demokratischer für Medien, für alle zugänglich zu sein und nicht nur für ein paar wenige, die sich dieses "Gut" leisten können. Durch deine Unterstützung bekommen auch jene einen Zugang zu diesen Informationen, die es sich sonst nicht leisten könnten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama.at auch weiterhin geben.

Folgende Unterstützungsmöglichkeiten bieten wir an: via PayPal,via Steady