Prävention ist die Mutter der Sicherheit!

Virus
Rache für Petya, Krypto-Trojaner-Attacke auf deutsche Personalabteilungen

Es ist geschehen, der „Day Zero“ für die hochentwickelte Ransomware Goldeneye ist vorüber und hat in deutschen Personalabteilungen immensen Schaden angerichtet.

Schuld an der enormen Erfolgsquote war dieses mal weniger der User vor dem PC, sondern vielmehr die fahrlässige Einsparung der Unternehmensleitung bezüglich Sicherheitssoftware, da meist nur entgeltpflichtige Premiumprodukte hohe Erkennungsquoten bei Zero-Day-Malware (neu erschienene Bedrohungen) haben. Von der Aufmachung her konnte man dieses Mal nicht sofort erkennen, dass es sich um eine E-Mail-Attacke handelte, denn der Text und die Aufmachung der E-Mails waren authentisch und in fehlerfreiem Deutsch.

 

Wie infiziert man sein System mit dem Kryptotrojaner Goldeneye?

Deutsche Personalabteilungen erhielten eine Initiativbewerbung mit direkter Ansprache an den Entscheider von einem Herrn Rolf Drescher. In der Bewerbungs-E-Mail war eine Excel-Datei als vermeintliches Kompetenz-Profil von Herrn Drescher getarnt. Öffnete man diese Excel-Datei, wurde man aufgefordert die sog. Makro-Funktion (eigentlich für automatisierte Formatierungen erforderlich, um die Excel-Datei mit den gewünschten Einstellungen und Darstellungsoptionen anzuzeigen) zu aktivieren. Tat man dies, war es geschehen, denn in der Makro-Funktion war ein automatisierter Befehl zur Erzeugung von zwei .exe-Dateien eingebaut. Diese gaukelten nun dem User vor, dass das Datei-System seiner Festplatte schadhaft sei und leiteten einen Neustart des Systems ein, um vermeintlich das „Disk-Repair-Programm“ CHKDSK zu starten. Dieses startete auch im Bootvorgang und zeigte vermeintliche Reparaturvorgänge an, wie es einige User von besagtem Programm bereits gewohnt waren. Anstelle das System zu reparieren, wurde es allerdings verschlüsselt und dem User wurden fortan anstelle seiner Desktop-Oberfläche ein Fenster mit einer Erpressungs-Botschaft angezeigt (bisher gibt es noch kein Verfahren, das verschlüsselte System zu entschlüsseln, wie es bei anderen Krypto-Trojanern der Fall war). In der Botschaft wird man mit Anleitung aufgefordert sich in das Darknet einzuwählen, eine bestimmte Seite zu besuchen und dort eine ID einzutragen, welche der Trojaner generiert. Tut man dies, wird man aufgefordert Bitcoins im Wert von ca. 940€ zu zahlen, um das Passwort zur Entschlüsselung zu erhalten.

Interessantes Detail: Rolf Drescher ist kein unbekannter, die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner, gehört eigentlich zu den Guten und bot in Vergangenheit Unterstützung an, Systeme, die durch den Krypto-Trojaner Petya verschlüsselt waren wieder zu entschlüsseln, so dass man von einem Racheakt mit Rufmordabsichten ausgehen kann.

 

Binär

Wie schützt man sein System?

Natürlich steht an erster Stelle die Schulung seiner Mitarbeiter mit unbekannten Absender-E-Mails besonders vorsichtig umzugehen. Nachdem in Vergangenheit Malware-Infektionen mit enormen Schadpotential wüteten oder mehr oder minder fast jeder schon einmal selbst Opfer von Schadsoftware wurde, reagiert man mittlerweile instinktiv sehr vorsichtig bei E-Mails mit schlechter Orthografie aus unbekannten Quellen mit Anhängen. Was jedoch eine authentisch aufgemachte E-Mail-Nachricht mit fehlerfreiem Deutsch bewirken kann, bewies Goldeneye auf eindrucksvolle Weise.

Oftmals scheuen Privatpersonen und auch teilweise Firmen den Einsatz kostenpflichtiger Anti-Viren-Produkte und wiegen sich in falscher Sicherheit durch Gratis-Virenscanner-Produkte. Diese haben aber genau jene Schwachstelle auf neu erschienene Bedrohungen (Zero-Day-Malware) nicht zeitnah zu reagieren. Premium-Produkte mit entsprechendem Mitarbeiter-Stab und Live-Erkennungssystemen sind meist in der Lage diese Bedrohungen mittels „KI-Funktionen“ der Premium-Software sofort, spätestens jedoch 1-2 Stunden nach erstmaliger Identifizierung, abzuwehren. Die Gratisprodukte brauchen im Schnitt 1-2 Tage bis die Signaturen zur Erkennung via Datenbankupdate eingespielt und erst dann erkannt werden können.

Wer seinen heimischen PC für mehr nutzt als nur E-Mails, welche nur den Liebsten bekannt sind, abzurufen und ab und an mal etwas auf großen Handelsplattformen zu bestellen, ist durch ein Gratis-Produkt meist nicht ausreichend geschützt und wiegt sich in falscher Sicherheit, bis das Kind in den Brunnen gefallen ist. Firmen handeln aufgrund der Kunden-, Mitarbeiter-, Lieferanten- & Auftraggeber-Daten besonders fahrlässig, wenn sie ihre Systeme nur unzureichend schützen.

 

Sofern dieser Artikel Ihnen die Augen geöffnet haben sollte, können Sie gerne mit uns in Kontakt treten, wir führen Anti-Viren-Software mit hohen Zero-Day-Malware-Erkennungsquoten zu moderaten Preisen. – Prävention ist die Mutter der Sicherheit!