Erneut sorgt die Ransomeware GandCrab für Aufsehen und Ärger in vielen Unternehmen. Zuhauf wird der Erpressungstrojaner als Bewerbung via E-Mail an Unternehmen verschickt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einer aktuellen Pressemitteilung vor der Ransomware.

Im aktuellen Fall werden E-Mails mit dem Betreff „Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von …“ versendet. Nach Informationen von heise online werden u.a. die Namen Peter Reif, Peter Schell, Caroline Schneider und Viktoria Henschel in dem Betreff verwendet.

Die Bewerbung ist in fehlerfreiem Deutsch verfasst und enthält im Anhang eine verschlüsselte Archivdatei (etwa .rar) und darin eine als angebliche .pdf-Datei getarnte .exe-Datei (“Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe”).

Das zum Öffnen des Archivs benötigte Passwort wird dem Empfänger entweder im Text mitgeteilt oder per .txt-Datei der E-Mail beigefügt.

Im verschlüsselten Archiv erkennen die gängigen Virenscanner die Datei häufig nicht.

Gelangt die exe-Datei zur Ausführung, wird der Computer verschlüsselt. Betroffene werden zu einer Lösegeldzahlung aufgefordert, nach der der Rechner angeblich wieder entschlüsselt wird. Von solchen Zahlungen ist dringend abzuraten.

Was tun?

1. Sensibilisieren Sie Ihre Mitarbeiter

Gandcrab tarnt sich geschickt als Bewerbung. Damit ist in den meisten Fällen die Personalabteilung betroffen. Zur Sicherheit sollten Sie jedoch alle Mitarbeiter Ihres Unternehmens über den aktuellen Umlauf von Ransomeware informieren.

2. Aktualisieren und nutzen Sie regelmäßig Ihre Antivirensoftware

Halten Sie Ihre Antivirensoftware aktuell und scannen Sie den Inhalt von Archivdateien, bevor Sie diese öffnen. Prüfen Sie, ob beispielsweise verschlüsselte Anhänge zur Prüfung automatisch in Quarantäne verschoben werden können oder Blacklists eingesetzt werden können.

3. Sichern Sie Ihre Daten regelmäßig

Idealerweise führen Sie regelmäßig (mindestens täglich) eine Datensicherung durch und lagern diese Zugriffsgeschützt. Denn eine Datensicherung nützt Ihnen im Falle einer Infektion durch einen Verschlüsselungstrojaner nur, wenn die Daten aktuell sind und die Ransomware keinen Zugriff auf Ihre Datensicherung erhält. Überprüfen Sie Ihre Datensicherungen regelmäßig auf Aktualität und Vollständigkeit.

4. Verdacht auf Infektion

Verhält sich Ihr System ungewöhnlich, unterbrechen Sie umgehend die Netzwerkverbindung oder schalten das System hart aus und informieren Ihre die IT-Abteilung!

5. GandCrab war erfolgreich

Sollte GandCrab erfolgreich durchgelaufen sein, trennen Sie das infizierte System vom Netzwerk. Zahlen Sie nicht das geforderte Lösegeld sondern bewahren Sie das System zur Beweissicherung auf und erstatten Sie Anzeige bei der Polizei. Spielen Sie die Daten aus Ihrer Datensicherung auf ein anderes System ein. Bei einer täglichen Datensicherung fehlen Ihnen im schlimmsten Fall die Ergebnisse von einem Arbeitstag.

6. Einsatz eines Entschlüsselungstools

Bitdefender hat für die Vorgängerversion GandCrab 5.0.3 ein Entschlüsselungstool veröffentlicht. Es kann sein, dass dieses auch für die aktuelle Version kompatibel ist. Einen Versuch ist es auf jeden Fall wert (anscheinend sind zwei Varianten von Gandcrab unterwegs; eine soll mit dem Entschlüsselungstool entschlüsselt werden können).