Aufgepasst: Neuer Verschlüsselungstrojaner Goldeneye verbreitet sich rasant

In dieser XLS-Datei versteckt sich Goldeneye. Erlauben Sie dem Schadcode unter keinen Umständen das Ausführen von Makros!

Ein bisher unbekannter Verschlüsselungstrojaner tarnt sich als Bewerbungs-E-Mail und versucht, Systeme in ganz Deutschland zu verschlüsseln. Momentan wird er von vielen Virenscannern noch nicht erkannt.

Ein neuer Verschlüsselungstrojaner treibt seit heute morgen in Deutschland sein Unwesen. Die Ransomware Goldeneye (anscheinend eine Anspielung auf die EMP-Waffe aus Pierce Brosnans erstem James-Bond-Film) wird per E-Mail verbreitet, an der eine XLS-Datei hängt. Die Mails sind als Bewerbung getarnt und in fehlerfreiem Deutsch formuliert, was die Erkennung als potenzielle Gefahr erschwert.

Öffnet der Nutzer die angehängte Excel-Datei, wird er im Dokument darum gebeten, die „Bearbeitungsfunktion“ des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Tut man dies und erlaubt dem Programm so, Makros auszuführen, ist es zu spät. Der Trojaner erzeugt dann zwei EXE-Dateien, führt sie aus und verschlüsselt Daten auf dem System, um anschließend Lösegeld zu fordern.

Ähnlichkeiten zum Petya-Trojaner

Mehrere Leser von heise Security haben uns auf den Goldeneye-Trojaner hingewiesen. Der Schadcode scheint, ähnlich wie Petya und seine Ableger, den Rechner zu einem Neustart zu zwingen und dann unter Vorwand eines gefakten Chkdsk-Bildschirms die Daten zu verschlüsseln. Verschlüsselte Dateien hatten bei mindestens einem betroffenen Nutzer die Endung „uDz2j8mv“. Es ist allerdings denkbar, dass diese Endung variiert. Das Virentestlabor AV-Test, welches uns Samples des Trojaners zur Verfügung gestellt hat, beobachtet rapide Veränderungen an der XLS-Datei, welche die Infektion auslöst. Das soll höchstwahrscheinlich Virenjäger auf die falsche Fährte locken.

Auf der Festplatte hinterlegt der Trojaner eine Textdatei die ankündigt, Daten seien von der „GOLDENEYE RANSOMWARE“ verschlüsselt. Diese Warnung wird auch auf Netzlaufwerken abgelegt. Bisher gibt es allerdings keine Anzeichen, dass auch hier Daten verschlüsselt werden.

 

Quelle: Heise Security