Polizei warnt Nutzer in Deutschland vor Ransomware Jaff

Die Masche ist nicht neu, die Angriffswege sind nicht neu, und die ausgenutzten Sicherheitslücken sind ebenfalls nicht neu, aber weil alles immer noch prima funktioniert, gibt es für Kriminelle keinen Grund, ihre Strategien zu ändern. Daher sieht sich die Polizei Niedersachsen jetzt genötigt, vor einer genannten Jaff Ransomware zu warnen. Sie werde derzeit auch in Deutschland “verstärkt per E-Mail verschickt”.

Die Erpressersoftware wird mit Hilfe einer Word-Datei eingeschleust, die als PDF-Datei getarnt angehängt ist. Laut LKA Niedersachsen wird im Betreff häufig mit dem Begriff “Invoice” (Englisch für “Rechnung”) Dringlichkeit suggeriert. Der knapp gehaltene Text der E-Mail fordert Leser lediglich auf, die angehängte PDF-Datei zu öffnen. Dahinter verbirgt sich jedoch ein Word-Dokument, das per JavaScript geöffnet werden soll. Das ist die vorletzte Möglichkeit, dass ein aufgeklärter Nutzer den Angriff mühelos abwehren kann.

Jaff-Ransomware (Screenshot: LKA Niedersachsen)

Die letzte Hürde für die Kriminellen ist, dass das das in das Word-Dokument eingebettete Makro ausgeführt werden muss, damit die Ransomware Jaff heruntergeladen werden kann. Sie wird dann automatisch ausgeführt und verschlüsselt im Hintergrund Dateien. Sie sind dann an der Endung “.wlu” zu erkennen. In jedem Ordner wird zudem eine Anleitung zur Entschlüsselung der Dateien in den Dateiformaten html, txt und png abgelegt.

Ihre Lösegeldforderung präsentieren die Kriminellen auf einer Onion-Site, die nur über den Tor-Browser aufgerufen werden kann. Damit wollen sie wohl ihre Spuren verwischen. Damit auch weniger versierte Nutzer dahin finden, ist der Weg in der Anleitung ausführlich beschrieben.

Der dort angebotene Jaff-Decryptor soll die Dateien wieder entschlüsseln können. Um das Lösegeld von 0,35826226 Bitcoin – rund 700 Euro – bezahlen zu können, müssen Betroffene allerdings zuerst eine eigene Bitcoin-Wallet registrieren.

Den Jaff Decryptor bieten die Cyberkriminellen gegen Zahlung von rund 700 Euro in Bitcoins an (Screenshot: ZDNet.de)

Die Polizei Niedersachsen geht davon aus, dass Jaff Opfer finden wird. Ihrer Ansicht nach trägt der umständliche Infektionsweg möglicherweise dazu bei, die Erkennung durch Antivirensoftware zu verhindern. Da hilft dann nur noch Sachverstand. Verantwortliche in Firmen sollten Nutzer noch einmal darauf hinweisen, Warnhinweise oder Sicherheitsabfragen nicht bedenkenlos durch Klicken durchzuwinken und sie sollten sicherstellen, dass Makros nur dort aktiviert sind, wo sie wirklich gebraucht werden. Nutzer, die sie für ihre Arbeit nicht benötigen, sollten erneut drauf hingewiesen werden, sie nicht zu aktivieren oder ihnen sollte die Möglichkeit dazu genommen werden.

Hintergrund: Ransomware-Verbreitung mit Hilfe von Makros

Im Dezember warnte ebenfalls die Polizei vor einer Goldeneye genannten Malware, die sich über Excel-Tabellen in vermeintlichen Bewerbungen gezielt an Personalabteilungen richtete. Auch in dem Fall wurde die Aktivierung von Makros verlangt, um der eigentlichen Malware Zugang zu verschaffen.

Auch die Ransomware Locky wurde vor rund einem Jahr über mit Makros präparierte, vermeintliche Rechnungen schwerpunktmäßig in Deutschland verbreitet. Außerdem warnten in letztere Zeit die Sicherheitsanbieter Palo Alto Networks und Objective See vor Malware gewarnt, die per Makro auf Nutzer von Microsoft Office zielte – sowohl unter Windows als auch Mac OS.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Einer der ersten und immer noch bekanntesten Makro-Viren ist “Melissa”. Angreifer nutzten mit ihm bereits 1999 Visual Basic for Applications (VBA) für ihre – damals noch vergleichsweise harmlosen – Zwecke. Daher werden derartige Viren auch als VBA-Viren bezeichnet. Nachdem das Problem weitgehend behoben schien, gerieten sie einieg Jahre in Vergessenheit, bis sich 2014 die Rückkehr der Makro-Viren andeutete.

Microsoft hat dann im Frühjahr 2016 als Reaktion Office 2016 um eine Funktion zur Abwehr von Makro-Malware erweitert. Administratoren können damit Regeln definieren, mit denen sich Makros je nach aktuellem Szenario blockieren lassen. So lässt sich etwa auch die Aktivierung von Makros durch Anwender in vorher definierten Risikosituationen unterbinden, beispielsweise beim Download von Dokumenten aus dem Internet. Wie die aktuelle Warnung der Polizei zeigt, sollte davon dringen Gebrauch gemacht werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Loading ...

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

23 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago