Eine neue Ransomware namens „Jaff“ wird per E-Mail verbreitet.

Als „Invoice“ getarnt, soll sie Nutzerinnen und Nutzer hinters Licht führen und zum Öffnen des PDF-Anhangs verleiten. Diese berichtet das Bundesamt für Sicherheit und Informationstechnik und verweist auf das LKA Niedersachsen. Aktuell wird verstärkt eine neue Ransomware per Mail verschickt, die nach Ausführung des Empfängers den Computer verschlüsselt und ein Lösegeld erpresst. Als Betreff wird in der Regel „Invoice“ mit anschließend zufälliger Nummer angegeben. Der eigentliche Mailtext wird dabei sehr kurz gehalten und fordert lediglich zum Öffnen des Anhanges auf.

Der Anhang ist eine PDF-Datei mit angehängtem Word-Dokument. Dies bedeutet, das Word-Dokument ist direkt in die PDF integriert und für den Anwender ist eigentlich nur eine PDF-Datei zu erkennen. Die Word-Datei selber enthält jedoch ein Makro, welches die eigentliche Schadsoftware aus dem Netz herunterlädt und ausführt.

Öffnet man die PDF-Datei, wird per Java-Script das Word-Dokument ausgeführt. Dies muss zuvor durch den Benutzer bestätigt werden. Im Anschluss öffnet sich Word mit dem integrierten Dokument, inklusive Marko-Warnung.

image

Wer nun die Ausführung von Makros in Word aktiviert, lädt das Makro und somit die Ransomware herunter. Im Hintergrund beginnt die Schadsoftware ihre Arbeit und verschlüsselt den Rechner und die somit angeschlossenen Netzlaufwerke.

Dieser „Umweg“ über die PDF führt hier also zunächst zu einer sinnvollen Sicherheitsabfrage, die vom Benutzer bestätigt werden muss. Für die Täter hat es aber den Vorteil, dass der Anhang (PDF-Datei) seltener durch z.B. Antivirensoftware herausgefiltert wird und im Allgemeinen als sicher angesehen wird.

Nach erfolgreicher Verschlüsselung sind die Dateien mit der Endung „.wlu“ umbenannt und es Entschlüsselungsanweisungen als html, txt und png in jedem Ordner gespeichert. (Quelle)

Anmeldung zum Mimikama-Newsletter

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)

FAKE NEWS BEKÄMPFEN! Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

INSERT_STEADY_CHECKOUT_HERE

Mehr von Mimikama