/Tech

Neue Ransomware: Was ihr über Goldeneye wissen müsst

Benedikt Plass-Fleßenkämper 07.12.2016

Eine neue Ransomware treibt ihr Unwesen, sie attackiert vor allem die Personalabteilungen großer Unternehmen. Wir haben zusammengetragen, was ihr über das Schadprogramm mit dem ikonischen Namen Goldeneye wissen müsst.

Der Goldeneye verkörpert die ultimative Sci-Fi-Waffe des kalten Kriegs. Ein Satellit mit Zerstörungskraft, gegen den Pierce Brosnan in seinem ersten Film als James Bond ins Feld zieht. Der wahr gewordene Goldeneye zündet zwar keine Bombe im Weltraum, um elektrische Geräte auf der Erde abzuschalten, dafür legt er den Betrieb in den Personalabteilungen deutscher Unternehmen gleich reihenweise lahm.

Was ist Goldeneye?
Hinter dem pompösen Namen verbirgt sich eine neue Schadsoftware, die seit dem frühen Morgen des 6. Dezembers 2016 im Umlauf ist. Es handelt sich dabei um einen Verschlüsselungstrojaner, der nach Aktivierung den Rechner seiner Opfer lahmlegt und sie zur Zahlung von Lösegeld auffordert, um das System wieder freizuschalten. Die sogenannte Ransomware erreicht Nutzer per E-Mail in Form einer Online-Bewerbung und versteckt sich in einer angehängten Excel-Datei namens Bewerbung.xls.

Was tut die Schadsoftware?
Nach dem Öffnen der Excel-Datei fordert das Programm den Nutzer zur Freigabe von Makros auf. Folgt man dieser Anweisung, beginnt im Hintergrund die Installation der Schadsoftware und die Verschlüsselung des Systems. Danach startet der Rechner eigenständig neu und bleibt auf einem Startbildschirm hängen, der neben einem Totenkopf die Anweisung anzeigt, eine bestimmte Geldsumme zu überweisen, um das System wieder zu entschlüsseln.

Wer ist betroffen?
Der Angriff richtet sich offenbar gezielt gegen die Personalabteilungen deutscher Unternehmen. Drei Firmen aus Osnabrück und Umgebung haben Anzeige erstattet. Dabei werden auch interne E-Mail-Adressen angeschrieben, die nie öffentlich genutzt wurden. Ob es noch weitere betroffene Unternehmen gibt, ist derzeit unklar. Ebenso kann nicht ausgeschlossen werden, dass infizierte Mails, möglicherweise unter anderem Vorwand, auch an Privatpersonen verschickt werden.

Wer steckt dahinter?
Heise vermutet hinter den Angriffen eine Racheaktion. Grund für diese Annahme: Die schadhaften Bewerbungen wurden im Namen eines Rolf Drescher versandt. Die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner ist ein Unternehmen, das Opfern des Trojaners Petya bei der Entschlüsselung ihrer Systeme hilft. Weil Goldeneye große Ähnlichkeiten zu Petya aufweist, liegt es nahe, dass hinter dem Angriff die gleichen Urheber stecken. Das Unternehmen erstattete schon Anzeige, weil der Geschäftsbetrieb durch die geballten Anfragen zum Thema zum Erliegen kam.

Woran erkenne ich eine infizierte Mail?
Das Computer-Notfallteam CERT des Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt davor, ungeprüfte E-Mails zu öffnen. Die verschickten Online-Bewerbungen wirken authentisch, sind in fehlerfreiem Deutsch verfasst und nennen sogar den korrekten Ansprechpartner. Außerdem beziehen sie sich auf reale Stellenangebote, sodass sie auf den ersten Blick nicht von regulären Bewerbungen zu unterscheiden sind. Viele Virenscanner erkennen den Trojaner laut WinFuture noch nicht. Sicher scheinen Nutzer von Windows Server 2012 zu sein, unter diesem Betriebssystem funktioniert die Verschlüsselung offenbar nicht.

Wie kann ich mich schützen?
Weil die schadhaften E-Mails kaum identifizierbar sind und viele Virenscanner den neuen Trojaner noch nicht auf dem Schirm haben, sollten man Anhänge nur unter besonderer Vorsicht öffnen. Das Ausführen von Makros nicht selbstverfasster Excel-Dateien sollte grundsätzlich tabu sein. Um für den schlimmsten Fall gerüstet zu sein, hilft ein regelmäßiges Backup des eigenen Systems. Das BSI bietet einen Leitfaden zum Umgang mit Ransomware an.

Wie verhalte ich mich als Betroffener?
Ist es doch passiert, und die Überweisungsaufforderung prangt auf dem Bildschirm, gilt zunächst vor allem eines: nicht zahlen. In der Regel fordern die Kriminellen dann nur noch mehr Geld. Stattdessen sollte der Rechner laut CHIP sofort vom Internet getrennt und über einen anderen PC die Software Sardu heruntergeladen werden. Nach Installation auf dem infizierten Computer sollte ein Virenscan und die anschließende Löschung aller Funde erfolgen. Mit Programmen wie Panda Ransomware Decrypt und Kaspersky Ransomware Decryptor kann nun versucht werden, die Verschlüsselung zu knacken. Gelingt das nicht, muss man den Rechner komplett neu aufsetzen. Verlorene Daten können im Anschluss eventuell durch Programme wie Recuva wiederhergestellt werden.

Jetzt WIRED Member werden und mit uns in die Zukunft starten!

Mit im Paket: 4 Magazin-Ausgaben im Jahr und der Member-Zugang zu exklusiven Inhalten auf WIRED.de sowie weitere Vorteile nur für Member.

Member werden