Infizierte sind doppelt gestraft

Dass sich der Verschlüsselungstrojaner GandCrab in Anhängen von E-Mail Bewerbungen versteckt, ist glaube ich inzwischen hinreichend bekannt:

So kommen die Bewerbungsunterlagen von einer vermeintlichen Bewerberin namens "Saskia Heyne" und das angehängte Word-Dokument stammt ist dem Anschein nach mit einer älteren Word-Version erstellt, weshalb die Aktivierung eines Makros erforderlich ist. Kommt man der Aufforderung nach, schnappt die Falle zu!

Eine andere Variante ist als Anhang ein passwortgeschütztes  RAR-Archiv, in dem sich die Datei "Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe" befindet. Meistens ist die Dateierweiterung in Windows ja ausgeblendet und der Anwender sieht nur die Endung .pdf und versucht diese zu öffnen.  Die Namen der vermeintlichen Bewerber sind natürlich austauschbar.

„Alles nichts Neues – weiss doch jeder“, werden Sie denken, aber jetzt gibt es GandCrab und Vidar im  Malware-Doppelpack! Vidar ist ein relativ neuer, aber sehr vielseitigen Trojaner, der sich beim Besuch kompromittierter Webseiten (speziell mit Werbebannern) per „Drive-by-Infektion“ über Sicherheitslücken im Internet Explorer und dem Flash Player verbreitet. Er kann neben Dokumenten, Passwörtern, Browserverlauf und E-Mail-Daten sogar Daten in Software mit Zwei-Faktor-Authentifizierung auslesen. Sogenannte Wallets, also digitale Geldbeutel für Kryptowährungen wie Bitcoin sind auch nicht vor ihm sicher.

Hat Vidar seine Arbeit erledigt und die Daten an seinen Command-and-Control-Server weitergeleitet, wird die Ransomware GandCrab nachgeladen und dann genau die Daten, die vorher ausgelesen wurden von GandCrab verschlüsselt.

Wenn man sich mit dem Malware-Doppelpack infiziert hat, ist man sozusagen doppelt gestraft: Man verliert die Kontrolle über seine persönlichen Daten, die missbraucht oder im Darknet feil geboten werden und muss darüber hinaus auch noch Lösegeld bezahlen, um überhaupt wieder Zugriff auf diese zu erlangen.