Der Erpressungstrojaner „Gandcrab“ ist bereits länger im Umlauf. Allerdings werden neue, verbesserte Versionen von Gandcrab aktuell von gängiger Anti-Virus Software nicht erkannt, wie Tests durch Heise Security zeigen.
Genaugenommen handelt es sich bei „Gandcrab“ um eine „Ransomware-as-a-Service“, um eine Malware, die von einem Team kontinuierlich weiterentwickelt und anderen Erpressern zur Verfügung gestellt wird.
Der Trojaner verbirgt sich als Wordanhang in E-Mails, die vorgeblich Bewerbungsunterlagen für ein ausgeschriebenes Jobangebot enthalten. Beim Öffnen der Worddatei werden Nutzer aufgefordert Makros zu aktivieren, um die Kompatibilität zwischen Officeversionen herzustellen und das Dokument lesen zu können.
In Wirklichkeit öffnen die enthaltenen Makros ein verstecktes Kommandozeilenfenster von Windows, laden hierüber den Erpressungstrojaner auf den Rechner und führen diesen aus. Gandcrab verschlüsselt alle Dateien und fordert ein Lösegeld zahlbar in Bitcoins.
In manchen Fällen versteckt sich Gandcrab auch in Mails, die auf einen aktualisierten Plan für den Notausgang hinweisen. Beim Öffnen des hier enthaltenen Word-Dokument bekommt der Nutzer den Titel „Notausgangsplan“ und die Schaltfläche „Inhalt aktivieren“ zu Gesicht. Auch hier führt der Klick auf die Schaltfläche zu einer Installation des Erpressungstrojaners.
Wie auch bei den vorangegangenen Bedrohungen durch Ransomware empfehlen wir Ihnen folgende Sicherheitsmaßnahmen:
1) Plausibilitätsprüfung von Absender, Inhalt und Anhängen:
- Stimmen Absender im E-Mailkopf und Absender im Text überein?
- Ergibt der Inhalt der E-Mail in Bezug auf aktuelle Stellenangebote und den Absender einen Sinn?
- Falls die E-Mail Anhänge enthält: Sind diese Dateien im Zusammenhang mit dem Mailinhalt plausibel. Sind die Dateinamen nachvollziehbar? Die Dateinamen von manipulierten Word-Dateien bestehen häufig aus Ziffern.
- Falls die E-Mail Links enthält: Stimmen die Ziele der Links mit den im Text gemachten Angaben überein.
- Bei Verdachtsmomenten sollte der vermeintliche Absender der Mail kontaktiert werden, um die Korrektheit der Mail zu verifizieren.
2) Technische und organisatorische Maßnahmen in Unternehmen:
- Automatisches Ausführen von Makros sollte deaktiviert sein (Microsoft Standardeinstellung). Über eine Gruppenrichtlinie lässt sich das Ausführen von Makros in einem Netzwerk generell unterbinden bzw. an die Nutzung einer digitalen Signatur koppeln. Die Computer Manufaktur berät Sie gerne bzgl. einer sicherheitskonformen Konfiguration Ihrer Windows Systeme.
- Virenscanner und Betriebssystem sollten stets aktuell sein (Die Hersteller arbeiten fortwährend an Lösungen zur Erkennung von aktueller und neuer Trojanersoftware und spielen diese über Aktualisierungen ein).
- Nutzung von Browsererweiterungen, welche die automatische Ausführung von Javascript durch Webseiten verhindern, wie z.B. das Plugin "NoScript".
- Jeder Mitarbeiter sollte klare Anweisungen erhalten, was bei einem erkennbaren Schadensfall zu tun ist.
- Regelmäßiges Backup – Nur hierüber ist eine Wiederherstellung befallener Systeme möglich.
Bei bestehenden Zweifeln sollten keine Anhänge geöffnet bzw. Links geklickt und die E-Mails ggf. gelöscht werden. Tatsächliche Bewerber werden in ihren Dokumenten in den allermeisten Fällen keine Inhalte verwenden, die Makros für die Anzeige benötigen.
