Home / News / 21.3.2016

Kundeninformation zum Ransomware Verschlüsselungstrojaner 

Wie funktioniert der Trojaner?

Bei der Schadsoftware „Ransomware“ handelt sich um einen Verschlüsselungstrojaner, der die Dateien der infizierten Rechner und der angebundenen Netzwerklaufwerke verschlüsselt.

Die Dateien sind danach unbrauchbar und können nicht restauriert werden. In diesem Fall hilft nur eine Rücksicherung vom Backup.

Der Trojaner verbreitet sich unter anderem durch Microsoft-Office-Dokumente im Anhang von E-Mails, die als Rechnungen getarnt sind. Nach dem Öffnen des angehängten Dokuments wird man i.d.R. aufgefordert, einen im Dokument enthaltenen Macro-Code auszuführen. 

Eine weitere Methode zur Verbreitung des Verschlüsselungstrojaners ist der Versand durch E-Mails, die so aussehen, als wären sie von einem Scanner mit Mail-Funktion versendet worden. Die angeblich gescannten Dokumente befinden sich im Anhang. Bei der Absenderadresse wird die Domain der Empfänger-Adresse nach dem Muster scanner@meinedomain.de verwendet. Der Betreff kann „Scanned image“ lauten.

Seit Anfang März wird „Locky“ auch mittels einer gefälschten E-Mail des Bundeskriminal­amts verteilt. Die E-Mail hat als Anhang ein angebliches BKA-Analyse-Tool mit dem Namen „BKA Locky Removal Kit.exe“.

Maßnahmen zur Vermeidung einer Infektion mit dem Trojaner

Vorsicht beim Öffnen von E-Mails mit unbekannten Absender!

Klicken Sie nicht auf integrierte Links. Öffnen Sie nie verdächtige Email Anhänge!

Besondere Vorsicht bei folgenden Dateianhängen: exe, docx, xlsx zip, rar, pdf!

E-Mail mit unbekanntem Absender, der keine Rückrufnummer in der E-Mail Signatur angibt, sind grundsätzlich verdächtig. Sie sollten solche E-Mails löschen.

Deaktivieren Sie Macros in Microsoft Office! Wie geht das?

Laden Sie Dokumente nur aus  vertrauens­­würdigen Quellen!

Kontaktieren Sie im Zweifel vor dem Öffnen verdächtiger E-Mails unseren Service: service@netik.de oder 0395-43017-11. Unser Service wird Sie ggf. auch bei der Rücksicherung von Dateien unterstützen.

Häufig verwendete Absender, die den Trojaner verbreiten

PayPal, DHL, Zalando, Globetrotter, Amazon, BKA, Büromarkt Böttcher AG, HD PLUS GmbH, Tobias Baum Chacon, BERGES Antriebstechnik Juergen Krell, Textilreinigung Klaiber, mpsmobile GmbH, Heitmann Metallhandel GmbH, kopierer@meineDomäne.de / scanner@meinedomäne.de
 
Es kann aber auch jede andere Absenderadresse den Trojaner enthalten!

Massnahmen für Datenschutz und Client-Backup interessieren mich

Um Missbrauch durch automatische Systeme zu verhindern, bitten wir Sie, das Ergebnis der folgenden Rechenaufgabe in das nebenstehende Feld einzutragen.