Aufgepasst: Neuer Verschlüsselungstrojaner Goldeneye verbreitet sich rasant
Ein bisher unbekannter Verschlüsselungstrojaner tarnt sich als Bewerbungs-E-Mail und versucht, Systeme in ganz Deutschland zu verschlüsseln. Momentan wird er von vielen Virenscannern noch nicht erkannt.
In dieser XLS-Datei versteckt sich Goldeneye. Erlauben Sie dem Schadcode unter keinen Umständen das Ausführen von Makros!
(Bild: AV-Test)
- Fabian A. Scherschel
Ein neuer Verschlüsselungstrojaner treibt seit heute morgen in Deutschland sein Unwesen. Die Ransomware Goldeneye (anscheinend eine Anspielung auf die EMP-Waffe aus Pierce Brosnans erstem James-Bond-Film) wird per E-Mail verbreitet, an der eine XLS-Datei hängt. Die Mails sind als Bewerbung getarnt und in fehlerfreiem Deutsch formuliert, was die Erkennung als potenzielle Gefahr erschwert.
Öffnet der Nutzer die angehängte Excel-Datei, wird er im Dokument darum gebeten, die "Bearbeitungsfunktion" des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Tut man dies und erlaubt dem Programm so, Makros auszuführen, ist es zu spät. Der Trojaner erzeugt dann zwei EXE-Dateien, führt sie aus und verschlüsselt Daten auf dem System, um anschließend Lösegeld zu fordern.
Ähnlichkeiten zum Petya-Trojaner
Mehrere Leser von heise Security haben uns auf den Goldeneye-Trojaner hingewiesen. Der Schadcode scheint, ähnlich wie Petya und seine Ableger, den Rechner zu einem Neustart zu zwingen und dann unter Vorwand eines gefakten Chkdsk-Bildschirms die Daten zu verschlüsseln. Verschlüsselte Dateien hatten bei mindestens einem betroffenen Nutzer die Endung "uDz2j8mv". Es ist allerdings denkbar, dass diese Endung variiert. Das Virentestlabor AV-Test, welches uns Samples des Trojaners zur Verfügung gestellt hat, beobachtet rapide Veränderungen an der XLS-Datei, welche die Infektion auslöst. Das soll höchstwahrscheinlich Virenjäger auf die falsche Fährte locken.
Auf der Festplatte hinterlegt der Trojaner eine Textdatei die ankündigt, Daten seien von der "GOLDENEYE RANSOMWARE" verschlüsselt. Diese Warnung wird auch auf Netzlaufwerken abgelegt. Bisher gibt es allerdings keine Anzeichen, dass auch hier Daten verschlüsselt werden.
Momentan werden die bösartigen EXE-Dateien nach Erkenntnissen von AV-Test von nur sehr wenigen Virenscannern entdeckt. Ergebnisse beim Online-AV-Aggregator VirusTotal bestätigen dies. Bei den Excel-Dateien sieht es mit den Entdeckungsraten schon besser aus, weswegen die Drahtzieher des Trojaners diese wohl ständig ändern.
Update - 06.12.2016, 14:36 Uhr
Der Schadcode läuft ersten Erkenntnissen nach nicht auf allen Betriebssystemen. Während der Trojaner unter Windows 7, Windows 10 und Server 2008 anscheinend problemlos Daten verschlüsselt, scheint dies auf Windows Server 2012 nicht zu funktionieren.
Update - 06.12.2016, 15:25 Uhr
Angaben zu den Betriebssystemen, auf denen der Trojaner verschlüsselt, mit neuen Informationen ergänzt.
Update - 06.12.2016, 18:02 Uhr
Einige Leser berichten davon, dass Daten auf eingebundenen Netzlaufwerken verschlüsselt wurden, bei anderen Opfern wurden die Netzlaufwerke offenbar nicht angetastet.
Update - 08.12.2016, 11:38 Uhr
Inzwischen erreichen uns auch Berichte von Opfern mit Windows-8-Rechnern.
Weitere Informationen zu Goldeneye lesen Sie hier:
- Goldeneye: Bedrohung erkennen, Mitarbeiter warnen, Infektion verhindern
- Goldeneye Ransomware greift gezielt Personalabteilungen an
- Tipps zum Schutz vor Ransomware
(fab)
