Ransomware „Jaff“ kommt als Mail mit PDF-Anhang

Laut LKA Niedersachen und heise tritt inzwischen, nur wenige Tage nach „WannaCry“, mit „Jaff“ eine neue Erpressersoftware vermehrt im deutschsprachigen Raum auf und soll im Gegensatz zu vielen ihrer „Artgenossen“ auch offline, also ohne feste Internetverbindung, funktionstüchtig sein. Die Schadsoftware kommt meistens mit einem altbekannten Trick daher, um Windows-Rechner zu verschlüsseln: Eine Rechnungs-PDF im Mailanhang soll den Empfänger zum Öffnen des Dokumentes animieren. Während die meisten Ransomware-Mails sich mit angehängten Worddokumenten schnell selbst enttarnen, ist Jaff also schon einen Grad cleverer. Selbst die schlechte Grammatik und Rechtschreibung, die man aus den meisten Phishing-Mails kennt, ist bei Jaff nicht mehr unbedingt an der Tagesordnung. Im Gegenteil: Oft sind Schad-Mails förmlich auf die eigene Firma zugeschnitten und erwecken damit viel schneller Vertrauen.

Klickt man erstmal munter drauf los, landet man doch beim altbekannten Worddokument und ist dank integrierter Makros vom Virus nicht mehr weit entfernt. Ist ein PC infiziert, werden Dateien verschlüsselt und mit der Dateinamen-Erweiterung „.wlu“ versehen. Für die Entschlüsselung verlangen die Erpresser ein Lösegeld – zu zahlen in der Internetwährung „Bitcoin“. heise berichtet von etwa 2 Bitcoin, was umgerechnet an die 4000 Euro bedeuten würde.

CryptoGuard kann schützen

Die meisten Malware-Angriffe auf Unternehmen werden durch Ransomware verursacht. Die Folgen für Geschäftsbetrieb und Produktivität sind oft fatal. Deshalb und weil der nächste Erpressungstrojaner wohl nicht allzu lange auf sich warten lassen wird, ist es unverzichtbar, vorzusorgen. Ein paar simple Tricks dafür haben wir hier zusammengetragen. Diese Maßnahmen können natürlich nur ein Anfang sein, an professioneller technischer Unterstützung führt kaum ein Weg vorbei. Mit Sophos Intercept X haben wir ein zuverlässiges Tool gefunden. Es verhindert unbefugte Spontanverschlüsselungen mit CryptoGuard – selbst dann, wenn es sich um vertrauenswürdige Dateien oder manipulierte Prozesse handelt. Nachdem die Ransomware abgefangen wurde, versetzt CryptoGuard sämtliche Dateien wieder in ihren sicheren Ursprungszustand zurück.

Bild: LKA Niedersachsen

Sie haben Fragen oder Anregungen zum Thema? Hinterlassen Sie uns einfach einen Kommentar direkt unter diesem Artikel oder rufen uns an unter 0531 180 508 0.