Polizei warnt Nutzer in Deutschland vor Ransomware Jaff

Ransomware (Bild: Shutterstock)

Wieder einmal verschicken Kriminelle Erpressersoftware per E-Mail. Im Betreff täuschen sie eine angehängte Rechnung vor, im PDF-Dateianhang der E-Mail verbirgt sich allerdings ein Word-Dokument mit eingebettetem Makro. Darüber wird dann die Ransomware Jaff nachgeladen. Opfer sollen ein Lösegeld von rund 700 Euro in Bitcoins bezahlen.

Die Masche ist nicht neu, die Angriffswege sind nicht neu, und die ausgenutzten Sicherheitslücken sind ebenfalls nicht neu, aber weil alles immer noch prima funktioniert, gibt es für Kriminelle keinen Grund, ihre Strategien zu ändern. Daher sieht sich die Polizei Niedersachsen jetzt genötigt, vor einer genannten Jaff Ransomware zu warnen. Sie werde derzeit auch in Deutschland “verstärkt per E-Mail verschickt”.

Die Erpressersoftware wird mit Hilfe einer Word-Datei eingeschleust, die als PDF-Datei getarnt angehängt ist. Laut LKA Niedersachsen wird im Betreff häufig mit dem Begriff “Invoice” (Englisch für “Rechnung”) Dringlichkeit suggeriert. Der knapp gehaltene Text der E-Mail fordert Leser lediglich auf, die angehängte PDF-Datei zu öffnen. Dahinter verbirgt sich jedoch ein Word-Dokument, das per JavaScript geöffnet werden soll. Das ist die vorletzte Möglichkeit, dass ein aufgeklärter Nutzer den Angriff mühelos abwehren kann.

Jaff-Ransomware (Screenshot: LKA Niedersachsen)
Jaff-Ransomware (Screenshot: LKA Niedersachsen)

Die letzte Hürde für die Kriminellen ist, dass das das in das Word-Dokument eingebettete Makro ausgeführt werden muss, damit die Ransomware Jaff heruntergeladen werden kann. Sie wird dann automatisch ausgeführt und verschlüsselt im Hintergrund Dateien. Sie sind dann an der Endung “.wlu” zu erkennen. In jedem Ordner wird zudem eine Anleitung zur Entschlüsselung der Dateien in den Dateiformaten html, txt und png abgelegt.

Ihre Lösegeldforderung präsentieren die Kriminellen auf einer Onion-Site, die nur über den Tor-Browser aufgerufen werden kann. Damit wollen sie wohl ihre Spuren verwischen. Damit auch weniger versierte Nutzer dahin finden, ist der Weg in der Anleitung ausführlich beschrieben.

Der dort angebotene Jaff-Decryptor soll die Dateien wieder entschlüsseln können. Um das Lösegeld von 0,35826226 Bitcoin – rund 700 Euro – bezahlen zu können, müssen Betroffene allerdings zuerst eine eigene Bitcoin-Wallet registrieren.

Den Jaff Decryptor bieten die Cyberkriminellen gegen Zahlung von rund 700 Euro in Bitcoins an (Screenshot: ZDNet.de)
Den Jaff Decryptor bieten die Cyberkriminellen gegen Zahlung von rund 700 Euro in Bitcoins an (Screenshot: ZDNet.de)

Die Polizei Niedersachsen geht davon aus, dass Jaff Opfer finden wird. Ihrer Ansicht nach trägt der umständliche Infektionsweg möglicherweise dazu bei, die Erkennung durch Antivirensoftware zu verhindern. Da hilft dann nur noch Sachverstand. Verantwortliche in Firmen sollten Nutzer noch einmal darauf hinweisen, Warnhinweise oder Sicherheitsabfragen nicht bedenkenlos durch Klicken durchzuwinken und sie sollten sicherstellen, dass Makros nur dort aktiviert sind, wo sie wirklich gebraucht werden. Nutzer, die sie für ihre Arbeit nicht benötigen, sollten erneut drauf hingewiesen werden, sie nicht zu aktivieren oder ihnen sollte die Möglichkeit dazu genommen werden.

Hintergrund: Ransomware-Verbreitung mit Hilfe von Makros

Im Dezember warnte ebenfalls die Polizei vor einer Goldeneye genannten Malware, die sich über Excel-Tabellen in vermeintlichen Bewerbungen gezielt an Personalabteilungen richtete. Auch in dem Fall wurde die Aktivierung von Makros verlangt, um der eigentlichen Malware Zugang zu verschaffen.

Auch die Ransomware Locky wurde vor rund einem Jahr über mit Makros präparierte, vermeintliche Rechnungen schwerpunktmäßig in Deutschland verbreitet. Außerdem warnten in letztere Zeit die Sicherheitsanbieter Palo Alto Networks und Objective See vor Malware gewarnt, die per Makro auf Nutzer von Microsoft Office zielte – sowohl unter Windows als auch Mac OS.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Einer der ersten und immer noch bekanntesten Makro-Viren ist “Melissa”. Angreifer nutzten mit ihm bereits 1999 Visual Basic for Applications (VBA) für ihre – damals noch vergleichsweise harmlosen – Zwecke. Daher werden derartige Viren auch als VBA-Viren bezeichnet. Nachdem das Problem weitgehend behoben schien, gerieten sie einieg Jahre in Vergessenheit, bis sich 2014 die Rückkehr der Makro-Viren andeutete.

Microsoft hat dann im Frühjahr 2016 als Reaktion Office 2016 um eine Funktion zur Abwehr von Makro-Malware erweitert. Administratoren können damit Regeln definieren, mit denen sich Makros je nach aktuellem Szenario blockieren lassen. So lässt sich etwa auch die Aktivierung von Makros durch Anwender in vorher definierten Risikosituationen unterbinden, beispielsweise beim Download von Dokumenten aus dem Internet. Wie die aktuelle Warnung der Polizei zeigt, sollte davon dringen Gebrauch gemacht werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Umfrage

Würden Sie nach einer Ransomware-Attacke Lösegeld bezahlen?

Ergebnisse

Loading ... Loading ...

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.