post

Trojaner-Mail im Namen des Kopierers

Gemäss Heise online versenden Kriminelle aktuell gehäuft E-Mails mit Schadcode im Anhang über gefälschte Absenderadressen von Netzwerk-Kopierern.

Heimtückischer Täuschungsversuch

Mitarbeitende sollten aktuell den Absender von E-Mails mit Dateianhang besonders intensiv prüfen. Derzeit sind gehäuft Trojaner-Mails mit der Absenderadresse kopierer@topleveldomain.de im Umlauf. Die Topleveldomain wird dabei von der Domain des jeweiligen Unternehmens ersetzt. Wie die Einschleusung der E-Mail-Trojaner gelingen konnte, wurde noch nicht veröffentlicht.  Insbesondere Firmen sind deshalb von diesem Täuschungsversuch gefährdet.

Da viele Firmen Netzwerk-Drucker und -Kopierer einsetzen die E-Mails verschicken können, ist diese Absenderadresse besonders heimtückisch. Nutzer sollten sich vor diesem Hintergrund nicht dazu verleiten lassen, den Dateianhang zu öffnen.

Wie kann ich mich schützen?

Prüfen Sie insbesondere E-Mails mit Dateianhängen auf die Vertrauenswürdigkeit. Wenn Sie eine verdächtige E-Mail erhalten, vergewissern Sie sich zuerst, ob Sie beispielsweise einen Scan- oder Druckauftrag initiiert haben. Vergleichen Sie die Absenderadresse mit der Absenderadresse, welche bisher erschien, wenn Sie E-Mails vom Drucker erhalten haben.

Wer eine derartige E-Mail empfängt, sollte diese umgehend löschen. Denn im Anhang befindet sich ein Word-Dokument mit schädlichen Makros. Öffnet ein Nutzer diese Datei, versuchen die Makros Schadsoftware auf den Computer zu laden.

Weitere Informationen zum Schutz gegen E-Mails mit Schadsoftware und betrügerischen Absichten erhalten Sie hier.

post

Verschlüsselungstrojaner TeslaCrypt im Umlauf

Diverse Meldungen in den letzten Tagen über die Schadsoftware TeslaCrypt an die Schweizerische Melde- und Analysestelle Informationssicherung MELANI zeugen von einer steigenden Verbreitung dieser Variante von Schadsoftware. Diese Schadsoftware (auch Ransomware genannt) verschlüsselt Daten und fordert anschliessend ein Lösegeld für die Wiederherstellung.

TeslaCrypt scheint sich fast ausschliesslich über infizierte E-Mail Anhänge (Ein Anhang des Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet) zu verbreiten. Einmal installiert, verschlüsselt TeslaCrypt die Dateien, welche sich auf dem Computer befinden (beispielsweise Fotos, Excel- oder Word-Dateien). Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten mit dem die Dateien wiederhergestellt werden können (Erpressung). Ähnliche Vorgänge sind durch Schadsoftware Cryptolocker, Synolocker, Cryptowall etc. bekannt.

Schwierigkeit: Dateiwiederherstellung

Verschiedene Antiviren Produkte können die Schadsoftware finden und zerstören. Dann ist es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall ist deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten. Im Moment scheint es keine Methode zu geben, die Daten ohne den Schlüssel, der nur den Erpressern bekannt ist, zu entschlüsseln. MELANI rät hier trotzdem davon ab, auf die Forderungen der Erpresser einzugehen und eine Zahlung zu leisten. Es gibt keine Garantie, dass die Kriminellen auch wirklich Wort halten und den für das Entschlüsseln der Dateien benötigten Schlüssel dem Opfer tatsächlich zusenden. Sie finanzieren gleichzeitig die Weiterentwicklung der Angreifer, welche einen nächsten noch wirksameren Angriff ermöglicht.

Massnahmen:

  • Wichtige Dateien sollten regelmässig auf externe Datenträger kopiert werden (Backup) und anschliessend getrennt aufbewahrt werden.
  • Seien Sie immer vorsichtig bei verdächtigen E-Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.
  • Sowohl Betriebssystem als auch installierte Applikationen (z.B. Browser, PDF Reader) müssen immer aktuell gehalten werden. Falls vorhanden, am besten mit der automatischen Update Funktion.
  • Ein Antivirenprogramm muss installiert sein und aktuell gehalten werden.
  • Eine Personal Firewall muss installiert sein und aktuell gehalten werden.
  • Detaillierte Empfehlungen finden Sie auf der MELANI Webseite unter der Rubrik „Wie schütze ich mich?“.

Im Falle einer Infektion

MELANI empfiehlt den Computer sofort von allen Netzwerken zu trennen. Eine Säuberung des Computers ist notwendig. Grundsätzlich ist eine Neuinstallation des Systems und das Ändern aller Passwörter ratsam. Diese Massnahme sollte zusammen mit einem Computerspezialisten durchgeführt werden. Nachdem diese Massnahmen erledigt wurden, können dann die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit sie allenfalls später noch entschlüsselt werden können.

Folgende Dateitypen können von der Schadsoftware TeslaCrypt verschlüsselt werden:

.7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb;.tax;
.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;.hkdb;
.mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;.sid;.ncf;
.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;.psk;.rim;.w3x;.fsh;
.ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;.mpqge;.kdb;.db0;.DayZProfile;
.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk;
.rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;
.p7b;.p12;.pfx;.pem;.crt;.cer;.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref;
.mef;.erf;.kdc;.dcr;.cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;
.psd;.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;.xlsm;
.xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;

Nach der Verschlüsselung werden die ursprünglichen Dateierweiterungen durch die Erweiterung .ecc ersetzt. Ausserdem löscht die Ransomware alle Schattenkopien und sogar Wiederherstellungspunkte, damit Sie keine Systemwiederherstellung durchführen können.

Der Desktop-Hintergrund wird danach durch eine Nachricht von TeslaCrypt ersetzt und es erscheint eine neue Datei mit dem Namen „HELP_TO_DECRYPT_YOUR_FILES.txt“ auf dem Desktop. Dabei handelt es sich um eine Anleitung, wie das Lösegeld bezahlt werden kann und wie der Entschlüssler funktioniert. Ausserdem erhalten Sie eine Entschlüsselungsbestätigung, die besagt, dass Ihre Dateien entschlüsselt werden, nachdem Sie den geforderten Geldbetrag bezahlt haben.

Kunden

Wenn Ihnen ein Anhang verdächtig vorkommt oder Sie etwas ungewöhnliches feststellen, können Sie unseren technischen Support kontaktieren.

Weitere Informationen erhalten Sie auf www.melani.admin.ch

 

post

E-Mail mit infizierter Zip-Datei von bekannten Kontakten

Zurzeit sind E-Mails im Umlauf mit Verdacht auf Viren. Sie wollen dem Empfänger eine Echtheit suggerieren, indem Absenderinformationen von bekannten Kontakten angezeigt werden. Die E-Mail erscheint mit unterschiedlichem Betreff, Text und Zip-Dateien im Anhang. Der Text ist meistens in Englisch.

Was alle diese E-Mails gemeinsam haben ist, dass sie von bekannten Absendern stammen. Sobald die Zip-Datei im Anhang geöffnet wird, nistet sich ein Programm ein, welches die E-Mail an sämtliche Kontakte in Ihrem Outlook-Adressbuch weiterleitet. Ausserdem kann es auch die Signatur des Absenders übernehmen und wirkt dadurch noch echter. Folgende Beispiele sind uns bekannt:

E-Mail Betreff:

  • Draft of the contract
  • Files to be executed
  • invoice

Nachrichtentext:

  • Please see attached the executed document from our side. You can send us a scan-copy after signing. Paul Sifer, Attorney
  • Check invoices

Dateianhänge:

  • tax.zip
  • invoices.zip
  • FAX_75295358_518.zip
  • scans.zip

Andere Varianten sind möglich,  zukünftig ist wahrscheinlich noch mit raffinierteren Varianten zu rechnen, vielleicht sogar in deutsch. Wenn Sie eine solche E-Mail erhalten, sollten Sie sie umgehend löschen und den Absender benachrichtigen. Neben dem potenziellen Reputationsverlust sind weitere Bedrohungen für den Computer möglich. Was das konkret sein könnte ist zurzeit nicht bekannt. Die Rücksprache mit bekannten Virenschutzherstellern hat zu keinen Ergebnissen geführt.

Unsere Empfehlung im Mailverkehr

Vor dem Öffnen von Dateianhängen immer Vorsicht walten lassen:

  • Erwarten Sie einen Dateianhang von diesem Absender?
  • Ist der Dateiname sinnvoll? (Z. B.: Schickt mir Max Muster aus Dagmersellen eine Datei mit dem Namen tax.zip?)
  • Ergibt der Betreff Sinn? (Z.B.: Schickt mein Lieferant mir eine Mail mit dem Titel”invoice”?)
  • Ergibt der Mailinhalt Sinn? (Z.B.: Schickt mein Verwandter mir eine Mail mit dem Text “Your Delivery”?)
  • Ergibt das Gesamtbild des E-Mails Sinn?
  • Im Zweifelsfall: Absender kontaktieren und nachfragen

Grundsätzliches

  • Stets einen aktuellen Virenschutz pflegen
  • Meldungen vom Virenschutzprogramm nicht ignorieren
  • Immer Absender, Betreff und Text überprüfen bevor Anhänge oder Links angeklickt werden
  • Auch bei bekannten Absendern kritisch sein
  • Bei E-Mails in Fremdsprache (insbesondere Englisch) kritisch sein

Im Zweifelsfall:

  • Lokale IT-Systemadministration benachrichtigen

Haben Sie weitere Fragen?

Wir unterstützen Sie gerne im Bereich IT-Security, E-Mailkommunikation und Virenschutz. Nehmen Sie mit uns Kontakt auf!