Bewerbung – Viktoria Henschel von Viktoria Henschel ([email protected]) bringt einen Verschlüsselungs- und Erpressungstrojaner (Ransomware)!

Am Montag, den 06. November 2017 durch unbekannte Dritte eine gefälschte Bewerbung versendet. Die folgende Bewerbung bringt einen Verschlüsselungs- und Erpressungstrojaner. Seien Sie daher vorsichtig und öffnen Sie keine ausführbaren Anlagen!

Die Bewerbung stammt angeblich von Viktoria Henschel ([email protected]). Personen mit diesem Namen oder dem dargestellten Bild haben damit aber nichts zu tun! Es handelt sich um gefälschte Angaben!

Betreff: Bewerbung – Viktoria Henschel
Absender: Viktoria Henschel ([email protected])

Sehr geehrte Damen und Herren,

anbei erhalten Sie meine Bewerbung für Ihre bei der Arbeitsagentur ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.

Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.

Mit freundlichen Grüßen,

Viktoria Henschel

Achtung: Es handelt sich um gefälschte E-Mails! Die genannten Personen haben mit der E-Mail nichts zu tun! Klicken Sie nicht auf die Anlagen und öffnen Sie diese nicht!

Bereits ein halbes Jahr zuvor wurden mit dem gleichen Foto betrügerische Bewerbungen verbreitet, mit deren Hilfe die Cerber Ransomware (bzw. Crbr) verteilt wurde:

Im o. g. Beispiel sind die beiden folgenden Dateien beigefügt:

Viktoria Henschel – Bewerbungsunterlagen.zip
Viktoria Henschel – Bewerbungsfoto.jpg

Das Bild stammt von einer Schweizer Internetseite, auf der ein Fotograf für seine Bewerbungsfotos wirbt.

Nach dem Entpacken des ZIP-Archives („Viktoria Henschel – Bewerbungsunterlagen.zip“) wären darin die beiden Dateien „Viktoria Henschel – Bewerbung – November.pdf.exe“ und „Viktoria Henschel – Lebenslauf – November.pdf.exe“ enthalten. Es handelt sich dabei aber nicht um PDF-Dokumente (Adobe Acrobat Reader), sondern ausführbare Dateien!

Viktoria Henschel – Bewerbung – November.pdf.exe
Viktoria Henschel – Lebenslauf – November.pdf.exe

Virustotal zeigt für die ausführbaren Dateien eine Erkennungsrate von 15/67!

Nach dem Ausführen der Dateien würden viele Dateitypen verschlüsselt. Die Dateinamen bekommen dabei total unterschiedliche Namen.

Außerdem legt die Ransomware noch eine Datei „Wo_sind_meine_Dateien.html“  in die Verzeichnisse.

Die Datei hat folgenden Inhalt:

Ihre Dateien wurden verschlüsselt!

Sehr geehrte Damen und Herren,

Wie Sie mit Sicherheit bereits festgestellt haben, wurden alle Ihre Dateien verschlüsselt.

Wie erhalte ich Zugriff auf meine Dateien?
Um Ihre Dateien erfolgreich zu entschlüsseln, benötigen Sie unsere Spezielle Software und den dazugehörigen Decrypt-Key.

Wo bekomme ich die Software?
Die Entschlüsselungs-Software können Sie bei uns erwerben.
Der Preis für die Entschlüsselungs-Software beläuft sich auf 0.12 Bitcoin (ca. 600 Euro).

Bitte beachten Sie, dass wir ausschließlich Bitcoin für den Erwerb der Software akzeptieren.

Wo bekomme ich Bitcoin?
Bitcoin können Sie Online sowie Offline erwerben, eine Liste empfohlener Anbieter folgt:
https://www.bitcoin.de/de/ – Online
https://localbitcoins.com/ – Online / Offline
https://btcdirect.eu/de-at – Online
https://www.virwox.com – Online

Zahlungsanweisungen
Bitte transferieren Sie exakt 0.12 Bitcoin an folgende Addresse: *****
Nach erfolgreichem Zahlungseingang erhalten Sie automatisch die Entschlüsselungs-Software sowie den dazugehörigen Decrypt-Key.

ACHTUNG!
Sollten wir innerhalb von 7 Tagen keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie kein Interesse an der Entschlüsselung Ihrer Dateien haben. In diesem Fall löschen wir den Decrypt-Key unwiderruflich und Ihre Dateien sind für immer verloren.

Ihre Dateien wurden mit einem 256-Bit AES Algorithmus auf Militärqualität verschlüsselt. Wir empfehlen Ihnen keine Zeit mit eigenhändigen Entschlüsselungsversuchen zu verschwenden, dies würde Sie nur unnötig Zeit und weiteres Geld kosten, Ihre Dateien wären aber weiterhin verschlüsselt.

Bonus
Zusätzlich zur Entschlüsselungs-Software erhalten Sie nach erfolgreicher Zahlung, hinweise wie die Schadsoftware auf Ihre System gelangen konnte und wie Sie sich in Zukunft vor weiteren Übergriffen schützen können!

Da die Ransomware selbst Links (*.lnk) verschlüsselt sind auf dem Desktop kaum noch Symbole zu finden:

Kommentar(e)

3 Kommentare

  • kann man was dagegen tun, wenn man schon betroffen ist?

    • Sebastian Brück

      Du kannst eine Anzeige erstatten. Die Täter wird man darüber aber vermutlich nicht finden.

      Hier scheinen die Täter nur eine BitCoin-Adresse zu nennen. Wie wollen sie Deine Zahlung zuordnen und Dir einen Schlüssel / ein Programm für die Entschlüsselung zukommen lassen (Sie haben ja keine Kontaktdaten von Dir)? Ich bezweifle, dass Du nach der Zahlung an Deine Daten kommst.

      Theoretisch kannst Du die verschlüsselten Daten aufbewahren und darauf hoffen, dass es irgendwann ein Entschlüsselungsprogramm geben wird.

      Hast Du keine Datensicherung? Die sollte man regelmäßig machen und nicht dauerhaft an den Rechner anschließen.

    • Sebastian Brück

      Inzwischen wurde ein Artikel von heise.de veröffentlicht, der auch sagt, dass vermutlich keine Entschlüsselung möglich ist. Der Name der Ransomware seit „Ordinypt“. Ursprung für den Artikel ist ein Blog-Einrag von G-Data, der daneben auch den Namen „HSDFSDCrypt“ nennt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.