Neue Ransomware Goldeneye mit massiver Ausbreitung

06.12.2016

Neu und noch kaum erkannt

Seit heute morgen verbreitet sich eine neue Ransomware Variante Goldeneye. Diese erinnert stark an die beiden Varianten Petya und Mischa, welche bereits seit längerer Zeit ihr Unwesen treiben. Nur extrem wenige Virenscanner erkennen ihn bisher als Bedrohung. Das Ziel der Malware ist, wie bei Ransomware üblich, das befallene System zu verschlüsseln.

James Bond lässt grüßen

Nach den beiden bereits bekannten Varianten Petya und Mischa, welche zugleich die beiden Satelliten im James Bond Film “Goldeneye” darstellten, folgt nun Goldeneye selbst. Die Ähnlichkeit zwischen den drei Varianten ist sehr groß. Während der nach dem Befall angezeigte Totenschädel bei Mischa und Petya noch rot und grün war, wird er nun in einem gold-gelb angezeigt.

klsjdajsdhaksjdhasj

Meldung nach dem Neustart des PCs

Der Befall und seine Folgen

Die Verbreitung der Malware findet über Emails statt. Getarnt als täuschend echt aussehende Bewerbung inkl. korrektem Empfängernamen findet sie den Weg ist den Posteingang. Im Anhang eine Excel Tabelle und oftmals ebenfalls eine PDF Datei. Im PDF Dokument finden Sie den Bewerbungstext in fehlerfreiem Deutsch inkl. Bild und einen Hinweis auf eine Excel Tabelle, bei der es sich angeblich um ein Profil der Arbeitsagentur handelt. Wird diese geöffnet, erscheint eine Meldung in Excel, sowie die Bitte Makros in der Datei zu aktivieren.

klsjdajsdhaksjdhasj

Wenn die Makros aktiviert werden, werden mehrere EXE Dateien auf dem PC erstellt und ausgeführt. Diese enthalten den Schadcode. Nach wenigen Sekunden wird der PC sofort neugestartet. Der anschließende Neustart läuft in eine vorgetäuschte Meldung von CheckDisk, die jedoch von der Malware angezeigt wird.

Unsere Analyse hat bisher ergeben, dass die Malware auf Windows 10 Systemen nicht funktioniert. Hier wird keine Verschlüsselung durchgeführt.

Was hilft?

Bewerbungen sollten grundsätzlich nicht als Word- oder Excel-Datei versendet werden. Doch immer wieder kommt dies vor. Grundsätzlich gilt, fordern Sie Bewerbungen ausschließlich als PDF Datei an. Werden Sie beim Öffnen von Office Dateien gefragt, ob Makros aktiviert werden sollen, sollte hier ein wichtiger Grund vorliegen. In einer gewöhnlichen Bewerbung haben Makros keinerlei Sinn und sind grundsätzlich als verdächtig einzustufen.

klsjdajsdhaksjdhasj

Die Aufforderung zur Lösegeldzahlung

Hinweis von Peter Debus (Certified Ethical Hacker)

Neben einem aktuellen Virenschutz, einer Datensicherung und einer Firewall, die natürlich Pflicht sind, gehört immer ein gesundes Maß an Misstrauen bei Emails und URLs jeglicher Art. Seien Sie sich bewusst, warum Ihnen jemand diese Email geschickt haben könnte und ob alles zusammen betrachtet einen Sinn ergibt. Dies ist sicherlich kein hundertprozentiger Schutz, aber hilft in vielen Fällen, einen Befall und im schlimmsten Fall eine komplette Zerstörung des Systems abzuwenden.

Peter Debus (Systemhaus CompiPower),
Geschäftsleitung

Update 07.12.2016 08:11

Aktuell gibt es neue Meldungen, dass es einige Windows 10 Systeme gibt, die verschlüsselt wurden. Von unserer Seite aus konnte dies noch nicht bestätigt werden. Außerdem scheint es mittlerweile Versionen von Goldeneye zu geben, die Netzlaufwerke auch verschlüsseln. Dies war zu Begin der ersten Infektionswelle nicht der Fall.

Update 07.12.2016 14:34

Wir konnten soeben in unserem Testlabor bestätigen, dass Windows 8 Systeme ebenfalls angegriffen werden können. Die Verschlüsselung greift hier ebenso wie bei Windows 7.