Wieder einmal grassiert ein fieser Trojaner in den Bewerbungsmappen der Personalabteilungen und bereitet insbesondere den IT-Verantwortlichen in deutschen Unternehmen schlaflose Nächte. Dabei ist die Masche längst bekannt, mit denen der neue Epressungstrojaner Grandcrab sein Unwesen treibt.
Inhalt
Erpressungstrojaner Grandcrab mit alter Makro-Masche
Erhält der Personaler in den nächsten Tagen eine E-Mail mit dem Betreff „Bewerbung auf Ihre Stellenausschreibung“, „Bewerbung für die von Ihnen ausgeschriebene Stelle“ oder „Bewerbung für die ausgeschriebene Stelle“, muss er zwar nicht unmittelbar hektisch auf die Durchwahl der IT-Abteilung hämmern, aber zumindest mit höchster Aufmerksamkeit den Kaffeebecher an die Seite stellen. Denn in den zum Teil sehr echt anmutenden Bewerbungs-Mails ist ein Word-Dokument (.docx) angehängt, das einen fiesen Trojaner auf Windows-Computern unterbringt.
Besonders irritierend: Dateiname des .docx-Files sowie Absender und Betreffzeile variieren sehr stark zwischen kryptischen und nicht-kryptischen Inhalten, was eine Identifikation der jeweiligen E-Mails für den Durchschnittsbenutzer sehr erschwert.
Eine Infizierung durch den Erpressungstrojaner erfolgt immer nach dem selben Schema: Wird die mit Makros versehene Word-Datei geöffnet, zeigt das Dokument eine gefälschte Hinweis-Meldung an, die nicht systemseitig generiert wird, sondern lediglich aus gefärbtem Hintergrund, Word-Logo und etwas Text besteht.
Darin wird uns empfohlen, den Kompatibilitätsmodus von Word zu aktiveren bzw. „Bearbeitung aktivieren“ und „Inhalt aktivieren“. Wer das tut, aktiviert das Makro und den darin implementierten Schadcode.
Der Trojaner ist bereits seit Mitte 2018 bekannt, jedoch wurde die Art und Weise der E-Mail Inhalte angepasst. In den neuerdings auftauchenden E-Mails ist das Word-Dokument mit einem Passwort versehen, das zusätzlich in der Mail untergebracht ist. Durch das passwortgeschützte Dokument laufen alle gängigen Virenprogramme ins Leere und schlagen keinen Alarm, da sie das Dokument für eine Analyse nicht öffnen können. Daher sollten alle Bewerbungsmails mit Passwörtern für Dokumente ohne größeres Zögern unmittelbar gelöscht werden!
Makro lädt Trojaner über PowerShell
Wird das Makro aktiviert, ist der Trojaner zwar nicht sofort installiert, jedoch öffnet es ein verstecktes Windows-Terminal und aktiviert einige PowerShell-Kommandos, um den Erpressungstrojaner Grandcrab vom Kontrollserver zu laden und auf dem Rechner zu installieren. Dabei werden i.d.R. alle im Netzwerk erreichbaren Partitionen verschlüsselt, wenn die Benutzerrechte des infizierten Rechners dazu ausreichen.
Lösegeldzahlung in Bitcoin
Wie üblich, fordert uns eine Maske nach der Verschlüsselung aller erreichbaren Dateien dazu auf, ein Lösegeld in unterschiedlichen Höhen an eine Bitcoin-Wallet zu zahlen, wonach uns die Schlüssel für die Entschlüsselung der Dateien zugespielt werden. Eigenen Recherchen zur Folge beträgt das Lösegeld umgerechnet bisher zwischen wenigen hundert bis tausend Euro.
Das .com-Magazin hat einige Ansätze ermittelt, mit denen eine Entschlüsselung der Dateien auch ohne Lösegeld möglich ist.
Auch wenn es dem ein oder anderen Unternehmer mit Sicherheit lieber wäre, an die verlorenen Dateien zu kommen und die verhältnismäßig zum Wiederherstellungsaufwand „geringe“ Lösegeldsumme zu bezahlen, sollte man natürlich nicht so einfach die digitale Geldbörse zücken.
Wie so oft gilt: Adäquate Vorsorge schafft nachhaltige IT-Sicherheit und ermöglicht im Schadensfall eine zügige Schadensbegrenzung. Mit einer passenden Backup-Strategie und intelligenter Netzwerk-Struktur lassen sich zumindest die Schäden durch derartige Schadsoftware minimieren. Doch der größte Risikofaktor bleibt der Benutzer. Hier gilt: Weiterbildung statt Kündigung! Gerade Angestellte im Personal- und Buchhaltungswesen weisen oftmals nicht das nötige Know-How auf, das für einen risikoarmen IT-Betrieb im 21. Jahrhundert erforderlich ist.
