Anleihe bei James Bond
Der Name des gefährlichen Verschlüsselungstrojaners geht auf eine Waffe aus dem ersten James-Bond-Film zurück, was wohl die Gefährlichkeit des Trojaners unterstreichen soll. Wie heise.de dazu berichtete, sucht sich der Verschlüsselungstrojaner seine Opfer gezielt in Personalabteilungen. Die betreffenden E-Mails sind in fehlerfreiem Deutsch und mit korrekten Angaben verfasst.
Warnungen zur gefährlichen Ransomware kommen auch vom CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Trojaner verbirgt sich in einer angehängten Excel-Datei, die, wenn sie geöffnet wird, den Nutzer auffordert die Bearbeitungsfunktion des Programms zu aktivieren. Mit diesem Schritt ist die Erlaubnis gegeben Makros auszuführen. Der Trojaner erzeugt dann zwei EXE-Dateien, führt sie aus und verschlüsselt Daten auf dem System, so heise.de. Am Ende steht wie immer eine Lösegeldforderung.
Virenscanner schlagen nicht an
Wie von mehreren Viren-Testinstituten verlautete, werden die bösartigen EXE-Dateien nur von sehr wenigen Scannern erkannt. Nach vorläufigen Erkenntnissen sind Rechner mit Windows 7, 10 und Server 2008 für "Goldeneye" anfällig, schreibt heise.de. Lediglich Windows Server 2012 soll resistent sein. Um den Gangstern nicht in die Falle zu gehen, sollte man bei Bewerbungsschreiben genau hinsehen, Makros in Office-Programmen grundsätzlich deaktiviert haben und Aufforderungen, irgendwelche Funktionen freizugeben, ignorieren.
Wie entfernt man den Virus?
Chip.de bietet Soforthilfe an mit dem ausführlichen Beitrag: Goldeneye-Virus entfernen - so geht's
Absender lässt Racheakt vermuten
Laut heise.de werden die E-Mails im Namen "Rolf Drescher" von verschiedenen Adressen nach dem Schema "rolf.drescher@" versandt. Diese Mails stammen nach den Recherchen von heise Security aller Wahrscheinlichkeit nach nicht von diesen Absendern. Es scheint sich um eine Racheaktion zu handeln. Die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner bietet Entschlüsselungshilfe für Opfer des Trojaners Petya an und augenscheinlich wollen sich die Drahtzieher deswegen rächen. Ein Hinweis darauf, dass die Autoren der Malware auch mit Petya zu tun haben.
Weiterführende Links:
Petya Verschlüsselung geknackt
Petya kommt im Doppelpack mit Mischa
chip.de: Goldeneye-Virus entfernen - so geht's
n-tv.de: Neuer Erpresser-Trojaner sehr gefährlich
heise.de: Goldeneye Ransomware greift gezielt Personalabteilungen an