Warnung vor Trojaner „Gandcrab“: Verbreitung über gefälschte Bewerbungsmails

Der Trojaner „Gandcrab“ wird derzeit über vermeintliche Bewerbungs-E-Mails verteilt. Die Schadsoftware verschlüsselt alle Daten auf dem PC und verlangt ein Lösegeld. Durch bedachtes Vorgehen können Sie sich schützen.

Wie erkenne ich die E-Mails, über die "Gandcrab" verteilt wird?

Die gefälschten Bewerbungs-E-Mails, über die "Gandcrab" verteilt wird, haben laut CERT BWL recht ähnliche Merkmale.

  • Sie können etwa folgenden Betreff verwenden:

    Betreff: "Bewerbung auf die ausgeschriebene Stelle - Nadine Bachert"

    Die genannten Namen variieren dabei von Mail zu Mail.
     
  • Sie enthalten häufig einen kurzen Begrüßungstext:

    Sehr geehrte Damen und Herren,
    anbei erhalten Sie meine Bewerbung für Ihre ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung im Vertrieb und der Kundebetreuung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
    Ich freue mich auf ein persönliches Vorstellungsgespräch.
    Mit besten Grüßen
    Nadine Bachert

     
  • Meist ist das Porträtfoto einer jungen Frau beigefügt.
     
  • Als Anhang ist außerdem eine .zip-Datei beigefügt. Diese enthält eine .exe-Datei. Wird diese .exe-Datei ausgeführt, verschlüsselt die Schadsoftware die Dateien des Computers und verlangt die Zahlung eines Lösegeldes.

 

Wie kann ich mich schützen?

Laut heise.de sind derzeit nur Windows-PCs durch "Gandcrab" gefährdet. Die folgenden Verhaltenshinweise sind jedoch auch für Nutzer/innen anderer Betriebssysteme sinnvoll.

  • Ist einer E-Mail eine ausführbare Datei (meist eine .exe-Datei, in diesem Fall in eine .zip-Datei verpackt) angefügt, führen Sie diese keinesfalls aus, insbesondere wenn die Datei Ihnen ungefragt zugesandt wurde. Fragen Sie ggf. beim Absender telefonisch nach, um was für eine Datei es sich handelt.
     
  • Seien Sie generell misstrauisch bei E-Mails, die Anhänge und Links enthalten. Sollten Sie auch nur den geringsten Zweifel an der Vertrauenswürdigkeit einer E-Mail haben, versuchen Sie, den Absender ggf. telefonisch zu erreichen und die Nachricht zu verifizieren. Dies gilt insbesondere auch für E-Mails von Ihnen bekannten Personen, denn Absenderadressen lassen sich sehr leicht fälschen.
     
  • Ist eine E-Mail eindeutig nicht vertrauenswürdig, löschen Sie sie über die Tastenkombination "Umschalt+Entf". Dadurch wird die E-Mail ohne Umweg über den Papierkorb endgültig gelöscht.

 

Was kann ich tun, wenn mein PC bereits infiziert wurde?

Zahlen Sie auf keinen Fall das verlangte Lösegeld, sondern kontaktieren Sie als Mitglied der Universität Heidelberg unverzüglich die Stabsstelle IT-Sicherheit des URZ.

Das URZ sorgt dafür, dass die Spam- und Virenfilter der Mailserver einen Großteil schädlicher Mails schon erkennen, bevor sie überhaupt Ihr Postfach erreichen. Es wird jedoch ständig neue Schadsoftware in Umlauf gebracht, sodass die Filter aktuelle Bedrohungen gelegentlich nicht erkennen können. Die Hersteller müssen in diesen Fällen erst die Filterdefinitionen anpassen und entsprechende Updates zur Verfügung stellen. Es ist daher sehr wichtig, dass Sie eingehende E-Mails immer mit gesunder Vorsicht behandeln und sich so auch selbst schützen.

 

Bild: Ransomware