Kriminelle locken mit gefälschten Rechnungen in die Virenfalle

[Christoph]

Zitat:

Kriminelle verschicken derzeit im großen Stil gefälschte Bestellbestätigungen, die den Empfänger dazu verleiten sollen, die angehängte Malware auszuführen. Besonders perfide ist dabei, dass die Angreifer offenbar gestohlene Kundendaten von Onlineshops nutzen, um den Empfänger der Mail mit seinem echten Namen anzusprechen.

Die Kriminellen geben vor, dass der Mailempfänger bei einem Shop eine Bestellung in Höhe von mehreren hundert Euro aufgegeben hat. Um es den Spam-Filtern schwer zu machen, variiert der Name des Shops. In den heise Security vorliegenden Mails sollen die Mailempfänger angeblich bei comstern.de, nierle.de oder elektronikmax.de eingekauft haben. Die in der Mailsignatur angegebenen Kontaktdaten werden offenbar bunt zusammengewürfelt: In keinem der Fälle hat etwa die angegebene Postleitzahl zu dem Ort gepasst.

Wer Bestellbestätigungen oder Rechnungen erhält, die er nicht zuordnen kann, sollte einen eventuell vorhandenen Dateianhang unter keinen Umständen öffnen. Denn auf den Virenscanner kann man sich in diesem Fall nicht verlassen: Die bei dieser Angriffswelle angehängte Datei Rechnungsdaten.zip (enthält Rechnungsdaten.exe) wurde in einem Test von heise Security nur von fünf von insgesamt 42 AV-Engines anhand ihrer Signatur erkannt – rund sieben Stunden, nachdem sie verschickt wurde. In diesem Fall ist eine gute Verhaltensüberwachung Gold wert. Bei dem Schädling handelt es sich anscheinend um eine Variation des ZeuS-Bots.

Übrigens sollte man nicht nur um Rechnungen im ZIP- oder EXE-Format einen Bogen machen: Es sind gefälschte Telekom- und Vodafone-Rechungen mit PDF-Anhang im Umlauf, die den Rechner über eine ältere Lücke im Adobe Reader zu infizieren versuchen. Auch mit Office-Dokumenten ist ein solcher Angriff vorstellbar.

Update: Entgegen erster Vermutungen handelt es sich bei der Malware nicht um den ZeuS-Bot, sondern um einen mit dem BKA-Trojaner verwandten Lösegeld-Trojaner, der sich selbst als "Windows-Verschlüsselungs Trojaner" ausgibt. Er behauptet, den Festplatteninhalt verschlüsselt zu haben und fordert bis zu 100 Euro Lösegeld in Form einer Paysafecard ein. Da äußert fragwürdig ist, ob er der Trojaner den Rechner nach erfolgter Zahlung wieder freigibt, sollte man dieser Forderung auf keinen Fall nachgehen. Avira stellt eine Anleitung bereit, mit deren Hilfe man den Schädling entfernen können soll. (rei)

Quelle: http://www.heise.de/newsticker/meldu...e-1566365.html

[Christoph]

Zitat:

Verschlüsselungstrojaner zieht weiter Kreise

Erpresserische Schädlinge, die Dateien verschlüsseln, den Rechner blockieren und Lösegeld fordern, werden weiterhin per Mail verbreitet. Diese Mails enthalten vorgebliche Rechnungen, Bestellbestätigungen und dergleichen sowie eine ZIP-Datei mit dem Schädling.

Wie bereits in der letzten Woche berichtet, verbreiten Malware-Spammer Trojanische Pferde, die Windows-Rechner blockieren, um Lösegeld zu fordern. Die Mail-Texte enthalten die Behauptung, die Angeschriebenen hätten etwas bestellt und der Anhang enthalte eine diesbezügliche Rechnung, einen Lieferschein oder einen Zahlschein. Dementsprechend tragen die angehängten ZIP-Archive wie auch die darin steckenden EXE-Dateien Namen wie "Lieferschein", "Zahlschein", "Buchung", "Lieferung" oder auch "Rechnung".

Wird das ZIP-Archiv entpackt und die enthaltene Programmdatei geöffnet, installiert sich ein Trojanisches Pferd aus der Kategorie Ransomware (ransom: englisch für Erpressung). Es verschlüsselt etliche Dateien (Dokumente, Bilder, Musik) auf allen angeschlossenen Laufwerken, auch auf Netzwerkfreigaben und USB-Speichermedien. Ferner wird die Windows-Registry manipuliert, sodass außer dem Schädling keine Programme mehr gestartet werden können.

Der Schädling blockiert den Rechner und zeigt eine großformatige Meldung, es seien illegale Dateien gefunden worden oder es sei ein kostenpflichtiges Windows-Upgrade erforderlich. Die Opfer sollen 50 Euro per Ukash-Gutschein zahlen und dazu den Coupon-Code in die Eingabemaske eintippen. Im Gegenzug sollen sie einen Freischalt-Code erhalten, um ihre Dateien wieder entschlüsseln zu können.

Die bis Ende April verbreiteten Varianten verschlüsselten lediglich den Dateianfang mit dem RC4-Algorithmus. Dadurch ist eine Wiederherstellung möglich, wenn unverschlüsselte Originaldateien zum Vergleich vorhanden sind. Dafür genügen etwa die mit Windows gelieferten Beispieldateien (Bilder, Musik), die auf der Windows-DVD zu finden sind. Auf Websites wie Trojanerboard.de und im Forum des Anti-Botnet Beratungszentrums gibt es Hilfestellungen und spezielle Programme, die bei der Entschlüsselung helfen.

Neuere Varianten dieser aus Baukastensystemen stammenden Schädlinge benutzen eine andere Form der Verschlüsselung. An einer Abhilfe für Betroffene wird derzeit noch gearbeitet. Tools verschiedener Antivirushersteller wie Avira und Dr.Web können die Dateien zum Teil bereits wiederherstellen. Auf den oben genannten Websites werden Download-Links und Anleitungen zum Einsatz der Tools angeboten.

Betroffene sollten jedenfalls keine Zahlungen leisten sondern sich Hilfe in den Foren dieser Websites holen. Besser dran ist, wer regelmäßig Backups seiner wichtigen Dateien anlegt, die auf nicht ständig angeschlossenen Medien gesichert werden. Die Schädlinge werden zwar von vielen Antivirusprogrammen erkannt, es werden jedoch ständig neue Ransomware-Varianten generiert und verbreitet. Bis auch diese erkannt werden, kann es schon mal einen Tag dauern.

Quelle: http://www.pc-magazin.de/news/versch...e-1278920.html

[rattattat]

wieso gerade das Löss Geld in Form einer Paysafecard? Was ist dass überhaupt?
So was komisches!

[Boticelli]

Das ist ein prepaid voucher wie man so schön sagt und das meint man kann Geld laden und dann in Form eines Codes bezahlen, wird vor allem im Gamingbereich angewandt und dient eher der Sicherheit. So falls man keine kk hat z.b.

[rattattat]

Zitat:

Zitat von Boticelli

Das ist ein prepaid voucher wie man so schön sagt und das meint man kann Geld laden und dann in Form eines Codes bezahlen, wird vor allem im Gamingbereich angewandt und dient eher der Sicherheit. So falls man keine kk hat z.b.

ach ok!!! Kann es sein dass die irgend so eine EM Promotion haben? Der Name ist mir nämlich in diesen Bericht sehr aufgefallen weil ich es schon irgendwo mal gehört bzw gesehen habe... interessant... coole Idee! Danke für die Erklärung!