Grandcrab: So schützen Sie sich vor dieser Ransomware
Mit Gandcrab ist gerade eine aggressive Malware in Umlauf, die von Antiviren-Software oft nicht erkannt wird. Hacker verschicken sie als interessant gemachte Bewerbung an Personaler. Einmal aktiviert, erpresst sie die Empfänger.
Dank Fachkräftemangel freuen sich Personalabteilungen heutzutage über jede Bewerbung. Wer allerdings ein gut gemachtes Anschreiben mit Anhang bekommt, das erst über ein Passwort entschlüsselt werden muss und danach in Word Makros ausführen möchte, wird damit wenig Freude haben. Er sollte ...
Dank Fachkräftemangel freuen sich Personalabteilungen heutzutage über jede Bewerbung. Wer allerdings ein gut gemachtes Anschreiben mit Anhang bekommt, das erst über ein Passwort entschlüsselt werden muss und danach in Word Makros ausführen möchte, wird damit wenig Freude haben.
Er sollte die Datei auf keinen Fall öffnen, denn wahrscheinlich handelt es sich um die Ransomware Gandcrab. Nach erfolgreicher Ausführung verschlüsselt sie die Festplatte und verlangt Lösegeld.
Das Besondere an der Personaler-Version: Durch die Verschlüsselung des Anhangs wird der Trojaner von gängiger Antivirus-Software meist nicht erkannt.
Kurz nach dem ersten Auftreten des Schädlings schlug nicht ein einziger der 56 Tools auf virustotal.com an, mittlerweile kennen ihn schon fünf.
Der Betreff der E-Mail lautet Bewerbung für die ausgeschriebene Stelle oder Bewerbung auf Ihre Stellenausschreibung – ist also völlig unauffällig.
Das Passwort zum Entschlüsseln steht in der E-Mail. Auch das ist in Zeiten vermehrten Datenmissbrauchs nicht ungewöhnlich.
Das passiert im Hintergrund
Die Worddatei hat einen Namen wie 837625143.doc. Öffnet man nach der Entschlüsselung die Bewerbung in Word, kommt die Warnmeldung Diese Datei wurde mit einer früheren Version von Word erstellt, klicken Sie auf Inhalte aktivieren usw.
Manche Mails fordern auch auf, Schriften nachzuinstallieren. Alles ist so gemacht, dass das Opfer wenig Verdacht schöpft. Mit Inhalte aktivieren startet aber ein Makro mit fatalen Folgen:
Das bösartige Skript startet in einem versteckten Terminal eine Powershell, lädt damit eine Version des extrem aggressiven Trojaners Gandcrab nach und startet diesen. Dieser wiederum verschlüsselt die Festplatte und ersetzt den Desktop-Hintergrund mit einem Bild der Lösegeld-Forderungen.
Scheinbar funktioniert das Makro nur in Microsoft Word, nicht aber in LibreOffice. Auch Mac-User sollten mangels Powershell auf der sicheren Seite sein.
So schützen Sie sich
Schützen kann man sich vor allem vor dem ersten Befall. Dazu sollten Sie in Word überprüfen, ob die Makro-Einstellung richtig gewählt ist. Gehen Sie über Datei/Optionen auf den Reiter Trust Center, und wählen Sie Einstellungen für das Trust Center öffnen.
Es erscheint ein weiteres Fenster mit dem Reiter Makro-Einstellungen. Hier muss eine der zwei oberen Einstellungen, zumindest aber Alle Makros mit Benachrichtigung deaktivieren ausgewählt sein. Sonst ändern Sie das bitte.
Generell sollten Sie nie Makros in Word-Dateien aktivieren – es sei denn, sie haben persönlich beim Versender nachgefragt, ob diese Datei in Ordnung ist. Wenn Sie schon erpresst werden, kann eventuell die Webseite NoMoreRansom.org helfen.
Dort bietet eine Initiative aus Polizei und Antiviren-Herstellern spezielle Software an, die einige Verschlüsselungen entfernen können. Oft müssen Sie ein paar Monate warten, bis der Sie betreffende Trojaner geknackt wurde.
