Erpressungstrojaner Gandcrab verbreitet sich über gefälschte Bewerbungsmails

In den letzten Wochen haben zahlreiche Meldungen zum Thema «Gandcrab» die Runde gemacht. Bei Gandcrab handelt es sich um eine so genannte Ransomware, die Sicherheitslücken von Windows und Flash Player ausnutzt. Um ihr Ziel zu erreichen, verschicken die Angreifer falsche E-Mails mit Bewerbungsschreiben. Wer deren Anhang öffnet und ausführt, installiert sich automatisch die Malware und kann nicht mehr auf seine Daten zugreifen.

Bei Gandcrab handelt es sich um einen typischen Erpressertrojaner, der die auf einem Computer abgelegten Daten verschlüsselt, nachdem er sich Zugang verschafft hat. Die Entwickler von Gandcrab haben es auf Lösegeld abgesehen: Opfer, die ihren Computer bzw. ihre Daten wieder nutzen wollen, müssen zahlen.

Wer von einer derartigen «Daten-Geiselnahme» betroffen ist sollte sich allerdings gut überlegen, ob er wirklich zahlen will. Vielmehr empfiehlt es sich, Anzeige zu erstatten. Denn leider ist es oft so, dass die betroffenen Daten trotz Lösegeld-Zahlung nicht mehr freigegeben werden. Die gute Nachricht: In einigen Fällen kann der Computer selbst entschlüsselt werden, beispielsweise mithilfe des MalwareHunterTeams. Bei Gandcrab ist es jedoch noch nicht soweit.

Personalabteilungen aufgepasst
Die bisherigen Opfer der Attacken sind beinahe ausschliesslich Windows-Nutzer, da Gandcrab eine Sicherheitslücke in diesem Betriebssystem zu nutzen weiss. Wer regelmässig Updates installiert ist jedoch nicht gefährdet, da die betreffende Lücke mit dem August-Update behoben wurde. Deshalb: wer die aktuellen Windows-Updates noch nicht installiert hat, sollte dies umgehend tun.

Mit den gefälschten Bewerbungsschreiben haben die Gandcrab-Erpresser vor allem Unternehmen ins Visier genommen. Aufpassen sollten insbesondere Personalverantwortliche und Mitarbeitende von Personal-Abteilungen, die für Bewerbungen zuständig sind. Die Betreffzeile der vom Trojaner verschickten E-Mail lautet jeweils «Bewerbung auf die ausgeschriebene Stelle – Anna Schmid» (es sind Mails mit unterschiedlichen Namen im Umlauf). Wer das, der E-Mail angehängte, .zip-Archiv öffnet und eine der darin enthaltenen Dateien ausführt, installiert sich die Ransomware automatisch auf dem Computer. Die infizierten – d.h. verschlüsselten – Dateien haben anschliessend die Endung .krab.

Illegale Software
Eine weitere Möglichkeit, sich mit Gandcrab zu infizieren ist der Besuch von Webseiten, auf denen illegale gecrackte Versionen von kostenpflichtiger Software angeboten werden. Oft handelt es sich dabei um gefälschte Seiten, die von den Erpressern selbst aufgeschaltet wurden und die via Google-Suche gefunden werden. Wer sich von einer derartigen Seite eine mit der Gandcrab infizierte Datei auf den PC herunterlädt und ausführt, wird ebenfalls Opfer der Erpresser.