GandCrab: Bedrohung aus dem Internet (der Dinge)
Mit einer neuen Angriffswelle macht derzeit die Ransomware GandCrab erneut auf sich aufmerksam.
Ziel der Angriffe sind in dem neuen Szenario hauptsächlich die Personalabteilungen von kleinen und mittelständigen Unternehmen, deren I(o)T-Strukturen und Geräte nicht ausreichend gegen solche Angriffe abgesichert – und deren Mitarbeiter möglicherweise nicht umsichtig genug mit Emails und Dateianhängen umgehen.
Was ist GandCrab?
GandCrab ist eine Ransomware, die bereits seit Anfang 2018 in verschiedenen Versionen im Umlauf ist – und von den „Betreibern“ fortwährend weiterentwickelt wird.
(Ransomware (von englisch ransom für „Lösegeld“), auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Dabei werden private Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern. – Quelle: Wikipedia)
Die ersten, frühen Versionen von GandCrab zielten noch auf Privatpersonen – beispielsweise Nutzer von Tauschnetzwerken (P2P) und Spieler, die einzelne Dateien (etwa ein angebliches Musikstück; einen Trainer oder einen NoCD Crack für ein Spiel) zu einem bestimmten Zweck von öffentlichen Servern ungeprüft herunterluden und ausführten.
Netzwerkfähige Ransomware
Version 1 und 2 von GandCrab durchsuchten nur den infizierten Computer nach Dateien und Laufwerken um diese zu verschlüsseln und den Besitzer zur Zahlung eines Lösegelds zu nötigen. Im zweiten Quartal 2018 wurde die 3. Version der Ransomware „veröffentlicht“ – diese war nun auch in der Lage, Zugriff auf Netzwerkressourcen und Laufwerke zu nehmen und diese ebenfalls zu verschlüsseln.
Vorsicht vor Dateianhängen bei Email-Bewerbungen!
Aktuell ist die 5. (oder gar höher) Version von GandCrab im Umlauf. Über ihr möglicherweise noch gestiegenes Schad-Potential ist derzeit noch nichts bekannt – div. IT Security und AntiViren-Unternehmen analysieren die neue Variante.
Infizieren können Sie sich und Ihr/e Sytem/e nur, wenn Sie unbedacht einen Dateianhang ausführen, der Ihnen unter dem Vorwand einer Bewerbung um eine angeblich vakante Position per Email zugesandt wird.
Derzeit haben die Email-Anschreiben den (oder ähnlich) Betreff:
„Bewerbung auf die ausgeschriebene Stelle – Zufällig Er.zeugter Name“
Der Wortlaut der Mail scheint derzeit zu lauten:
„Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung im Vertrieb und der Kundebetreuung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich auf ein persönliches Vorstellungsgespräch.
Mit besten Grüßen
Zufällig Er.zeugter Name „
Zwar erkennt eine Vielzahl gängiger (auch kostenloser) Viren– und Malware-Scanner GandCrab bereits – trotzdem ist und bleibt der sicherste Schutz vor derartigen Ransomswares der gesunde Menschenverstand. Die Email-Anschreiben der Ransomwares sind, da sie massenhaft verschickt werden, zumeist generisch und beziehen sich auf eine möglicherweise gar nicht ausgeschriebene Position. Daneben ist es absolut unüblich, einer Bewerbung eine ausführbare Datei anzufügen.
Derzeit ist noch kein Entschlüsselungstool erhältlich, um die neue Verschlüsselung von GandCrab zu durchbrechen! Ein sehr sorgsamer Umgang mit eingehenden Mails und möglichen Dateianhängen ist neben der Verwendung zuverlässiger Viren- und Malwarescanner anzuraten.