Eine neue Erpresser-Schadsoftware namens Goldeneye wird aktuell per E-Mail verschickt. Im Anhang befindet sich eine manipulierte Excel-Datei.

Von Georg Wieselsberger |

Eine neue Schadsoftware richtet sich gezielt an Personalabteilungen.

Eine neue Erpresser-Schadsoftware, die Daten verschlüsselt, wird laut einem Bericht von Heise aktuell per E-Mail verbreitet. Die Schadsoftware trägt die Bezeichnung Goldeneye und befindet sich in einer manipulierten Excel-Datei im Anhang. Ziel des Angriffs sind Personalabteilungen in Unternehmen, da sich die E-Mail als Bewerbung eines »Rolf Drescher« ausgibt.

Fehlerfreies Deutsch und passende Anrede

Im Gegensatz zu manch anderen E-Mails ähnlicher Art verwendet das Schreiben fehlerfreies Deutsch und eine zum Empfänger passende Anrede. Neben der Excel-Datei enthält die E-Mail auch eine PDF-Datei, die eine korrekte aussehende Bewerbung enthält, die ebenfalls zum jeweiligen Unternehmen passt. Der Angriff ist also durchaus dazu geeignet, Mitarbeiter in Personalabteilungen zu täuschen und in Sicherheit zu wiegen.

Sofern der Empfänger dann die Excel-Datei öffnet, wird er darum gebeten, die »Bearbeitungsfunktion« der Tabellenkalkulation zu aktivieren und damit auch das Ausführen von Makros. Nach der Genehmigung werden dann zwei aufführbare Dateien erzeugt, die die eigentliche Schadsoftware enthalten und Daten auf dem Rechner verschlüsseln können.

Dabei wird der infizierte Rechner anscheinend zu einem Neustart gezwungen, in dessen Verlauf dann eine angebliche Dateiträger-Überprüfung tatsächlich die Daten auf Festplatten und bei manchen Betroffenen auch auf Netzlaufwerken verschlüsselt. Danach findet sich auf den Laufwerken auch eine Text-Datei mit Anweisungen zur Bezahlung des Lösegeldes.

Während die beiden EXE-Dateien bisher nur von wenigen Virenscannern als Schadsoftware identifiziert werden, wird die Excel-Datei im Anhang der E-Mail relativ oft als gefährlich erkannt. Daher scheint sich die Excel-Datei in verschiedenen E-Mails immer wieder von anderen Versionen zu unterscheiden, um die Erkennung zu umgehen.

Quelle: Heise