Ransomware

31. Mai 2017
Verfasst von Sarah Schaudel

Vorsicht vor E-Mail-Anhängen

Jaff tarnt sich als Rechnung im E-Mail-Anhang und ist gefährlich für Windows-User. Der Text in der E-Mail selbst ist sehr kurz gehalten und fordert nur zum Öffnen des Anhanges mit dem Namen «Invoice» und einer zufälligen Zahlenfolge auf.

Der Anhang enhält eine PDF-Datei mit angehängtem Word-Dokument. Das Word-Dokument enthält ein Makro, das die Schadsoftware herunterlädt und ausführt.

Bis zur Verschlüsselung sind mehrere Bestätigungen notwendig

Bevor Jaff jedoch die ihre Festplatte verschlüsselt, müssen vom User mehrere Vorgänge bestätigt werden:

• Zunächst das Öffnen des Word-Dokumentes
• und im Anschluss die Ausführung von Makros 

Erst mit der Ausführung der Makros in Word beginnt der Download des Krypto Trojaners und die Verschlüsselung des Computers sowie aller angeschlossener Netzlaufwerke. Alle Dateien sind nach der Verschlüsselung mit der Endung «.wlu» umbenannt. Bisher ist noch kein Entschlüsselungstool für Jaff bekannt.

Vermutlich tarnt sich die Ransomware als PDF-Dokument, da diese als sicherer angesehen wird und nicht von jeder Antivirensoftware erkannt und herausgefiltert werden.

Nach der Verschlüsselung folgt wie für Krypto Trojaner üblich eine Entschlüsselungsanweisung. Für den dafür notwendigen Code werden 2 Bitcoins (etwa 4.000 €) verlangt. Ein vergleichsweise hoher Betrag.

Unsere Handlungsempfehlung

• Öffnen Sie nur E-Mail-Anhänge von bekannten Absendern!
• Integrieren Sie eine Backup-Strategie in Ihr Sicherheitskonzept!