Per E-Mail werden über verschiedene Absenderadressen, meist mit der Domainendung
…@t-online.de, …@emailn.de und …@indirkaydol.com,
diverse Bewerbungs- oder Auftragsangebote an Mitarbeiter in Unternehmen gesendet. Innerhalb der E-Mail wird meist auf eine Verlinkung hingewiesen, die auf eine Dropbox-Adresse zeigt, wo weitere Unterlagen hinterlegt und vom Mitarbeiter zur Einsicht heruntergeladen werden können. In einigen wenigen Fällen ist die Ransomware aber auch als ausführbare Datei (.exe) in Form eines .zip-Anhanges der E-Mail angehängt.
Von: Max Mustermann [Max.Mustermann@emailn.de]
Gesendet Dienstag, 6. Oktober 2015 09:35
Betreff: Ausbildung zum Kaufmann
Sehr geehrte Damen und Herren,
durch eine…
….Ihnen freue ich mich daher ganz besonders.
Mit freundlichen Grüßen
Max Mustermann
Anhang: Bewerbungsunterlagen (hier ist dann ein Link angegeben, der auf die Haupt-URL (https:www.dropbox.com/…/BewerbungsmappeZeugnisseLebenslauf.exe) verweist.
Folgt man dem Link, so hat es den Anschein, als könne die vermeintliche „Bewerbung“ oder das „Angebot“ heruntergeladen werden. Jedoch handelt es sich hier um eine ausführbare Datei wie auch in den seltenen Fällen des .zip-Anhanges, der ebenfalls diese .exe-Datei enthält. Mit einem Klick darauf wird augenblicklich damit begonnen lokale Daten sowie Daten auf Netzlaufwerken zu verschlüsseln (Dateierweiterung .crypt). Nach Neustart und Anmeldung am Rechner wird dieser gesperrt und es erscheint ein Hinweis. Gefordert werden ca. 1 – 2,5 Bitcoins für die Entschlüsselung der Daten.
Es gibt bislang keinerlei Hinweise oder Informationen, ob die Kriminellen persönliche Daten von betroffenen Systemen gestohlen bzw. bereits im Internet veröffentlicht haben! Ob verschlüsselte Daten wieder hergestellt werden können, ist bislang ebenfalls unklar.
Tipps des LKA: