Das Ransomware-Framework Gandcrab in der Version 4 sorgt seit ca. einer Woche für Aufregung in deutschen Unternehmen. Zu tausenden wird der recht klassische Erpressungstrojaner als Bewerbung via Mail an die verschiedensten Unternehmen geschickt. Die Täter zielen darauf ab, dass diese Mails durch die zuständigen Abteilungen geöffnet werden und sich der Trojaner dort einnisten kann. Die Masche ist dabei durchaus nicht neu, aber durch Ihre Einfachheit sehr gefährlich, vor allem in großen Unternehmen, die in großen Mengen Bewerbungen via Mail erhalten.

Nach Angaben des LKA Niedersachsens ist der Betreff und der Aufbau der Mail immer recht ähnlich, wobei der Name des Bewerbers variiert. Beispielsweise sieht die Betreffzeile wie folgt aus „Bewerbung auf die ausgeschriebene Stelle – Nadine Bachert“. Die Mail an sich enthält immer einen kurzen Text (s.u.) sowie ein ZIP-Archiv in der sich alle weiteren „Bewerbungsunterlagen“ befinden.

Abbildung 1 SPAM-Mail mit Gandcrab-Ransomware (https://www.gdata.de/blog/2018/09/31078-09)

Entpackt der Betroffene das Archiv findet dieser zunächst zwei Dateien vor. Führt er auch nur eine der Dateien aus, so verbreitet sich die Schadsoftware. Der Computer samt allen Dateien wird folglich via der symmetrischen Stromverschlüsselung Salsa20 verschlüsselt und ist für den Benutzer nicht mehr zu benutzen. Durch eine Lösegeldzahlung in Form einer Bitcoin-Zahlung soll sich der Computer wieder entschlüsseln, wovon stark abgeraten wird, da eine Entschlüsselung ohnehin sehr unwahrscheinlich ist.

Das LKA warnt davor, dass darüber hinaus die meisten gängigen Viren-Scanner Gandcrab, welcher primär auf Windows-Rechner ausgerichtet ist, bislang nicht als kritisch einstufen und somit gar nicht erkennen.

Folgende Punkte sollten Unternehmen daher jetzt beachten:

Vorsorge

1. Sensibilisieren Sie Ihre Mitarbeiter

Gandcrab tarnt sich geschickt als Bewerbung. Damit ist in den meisten Fällen die Personalabteilung betroffen. Zur Sicherheit sollten Sie allen Mitarbeitern Ihres Unternehmens folgende Informationen zukommen lassen:

  • Alle E-Mails gelten als grundsätzlich gefährlich, insbesondere E-Mails mit dem Absender-Namen „Sofia Bachmann“, „Nadine Bachert“, „Caroline Schneider“, „Viktoria Hagen“ oder „Hannah Sommer“
  • Die angeblichen Bewerber-E-Mails enthalten eine vollständige und in fehlerfreiem Deutsch geschriebene Bewerbung
  • Die angeblichen Bewerber-E-Mails enthalten häufig eine Zip-Archiv und ein Bewerbungsfoto
  • Bevor die Anhänge solcher E-Mails geöffnet werden, sollte die IT-Abteilung darüber informiert werden

2. Aktualisieren Sie regelmäßig Ihre Antivirensoftware

Wie bei allen neuen Viren, Trojanern, etc. dauert es etwas bis die Antivirensoftware darauf reagiert. Dennoch ist es gefährlich hier zu sagen, dass Updates nur unregelmäßig eingespielt werden sollten bzw. auf diesen Schutz ganz verzichtet werden kann. Eher wäre es ratsam, einmal pro Tag eine Aktualisierung anzustoßen.

3. Machen Sie regelmäßig eine Datensicherung

Datensicherung? Das Wort kennen Sie nicht? Das ist schlecht! Stellen Sie sich vor, dass Ihre kompletten Daten verschlüsselt wurden. Wollen Sie wirklich darauf hoffen, dass nach einer Zahlung eines Lösegelds Ihre Daten wieder entschlüsselt werden? Deshalb sollten Sie spätestens jetzt eine vollständige Sicherung Ihrer Daten durchführen. Idealerweise führen Sie diese regelmäßig (mindestens täglich) durch und lagern sie aus (z.B. Bankschließfach, anderes Rechenzentrum). Denn eine Datensicherung nützt Ihnen im Falle einer Infektion durch einen Verschlüsselungstrojaner nur, wenn die Daten aktuell sind und die Ransomware keinen Zugriff auf Ihre Datensicherung erhält.

4. Überprüfen Sie die Datensicherung

Sie sichern Ihre Daten in regelmäßigen zeitnahen Abständen? Vorbildlich! Aber haben Sie Ihre Datensicherung auch schon auf Vollständigkeit geprüft? Spätestens jetzt sollten Sie einmal eine Wiederherstellung Ihrer Daten durchführen und überprüfen, ob diese nicht nur vollständig sind, sondern auch überhaupt wiederhergestellt werden können.

Nachsorge

1. Ihr System verhält sich ungewöhnlich

Wenn Sie bemerken, dass sich Ihr System (z.B. PC, Laptop) ungewöhnlich verhält, beispielsweise plötzlich Text-Dateien mit der Bezeichnung „YOUR_FILES_ARE_ENCRYPTED.TXT“ auftauchen, dann sollten Sie Ihr System nicht herunterfahren, sondern „hart“ ausschalten. Ziehen Sie das Netzwerkkabel und informieren Sie Ihre IT-Abteilung. Tun Sie dies bitte auch, wenn Sie sich nicht sicher sind. Die Kollegen aus der IT-Abteilung kommen lieber einmal zu viel als einmal zu wenig vorbei.

2. Ihr System startet sich von selbst neu

Wenn Sie bemerken, dass Ihr System (z.B. PC, Laptop) von selbst herunterfährt und wieder neu startet, dann schalten Sie Ihr System „hart“ aus. Dann informieren Sie Ihre IT-Abteilung darüber.

3. Ich habe einen schwarzen Bildschirm und auf dem steht sowas wie „Repairing file system on C:……“

Die Verschlüsselung ist nun fast vollständig abgeschlossen. Ziehen Sie das Netzwerkkabel und informieren Sie Ihre IT-Abteilung.

4. Ich habe einen schwarzen Bildschirm und auf dem steht sowas wie „Candcrab“

„Candcrab“ war erfolgreich. Ihr System ist nun verschlüsselt und fordert ein Lösegeld in Form von Bitcoin. Ziehen Sie das Netzwerkkabel und informieren Sie Ihre IT-Abteilung. Jetzt hilft nur noch der Entschlüsselungskey oder siehe Punkt 5. Überweisen sie in keinem Fall das Lösegeld!

5. Ich habe „Candcrab“, was nun?

Trennen Sie das infizierte System vom Netzwerk. Bewahren Sie das System zur Beweissicherung auf und rufen Sie die Polizei. Spielen Sie die Daten aus Ihrer Datensicherung auf ein anderes System ein. Bei einer täglichen Datensicherung fehlen Ihnen im schlimmsten Fall die Ergebnisse von einem Arbeitstag. Falls Sie an einer Beweissicherung nicht interessiert sind, dann können Sie das System vollständig neu aufsetzen und spielen dann die Daten aus Ihrer Datensicherung auf das System ein.