Breaky's Blog _ technisch, ehrlich, persönlich, kritisch

EIGENE ANSICHTEN, FOTOS, ERFAHRUNGEN, TIPPS UND TRICKS MIT COMPUTER, TECHNIK UND MEHR

Kryptotrojaner

  • Krypto-Trojaner im Makrovirus: Invoice January J Thomson colour printers

    "Von: A . Baird [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Montag, 18. Januar 2016 11:59
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Invoice January
    Hi,
    We have been paid for much later invoices but still have the attached invoice as outstanding.
    Can you please confirm it is on your system and not under query.
    Regards
    Alastair Baird
    Financial Controller
    Registered in Scotland 29216
    14 Carnoustie Place
    Glasgow G5 8PB
    Direct Dial: 0141 418 5303
    Tel: 0141 429 1094
    www.jtcp.co.uk
    ? Save Paper - Do you really need to print this e-mail?"

    Auch hier heißt es wieder, ignorieren und löschen!
    Im Anhang findet sich eine Word-Datei: INV-IN174074-2016-386.doc. Aktuell wird der Schädling noch von keinem Antivirus-Programm erkannt!

  • Krypto-Trojaner in angeblicher Rechnung:Rechnung für Eigener Name Nr. 674513483

    trojaner computer"Von: Abrechnung OnlinePayment GmbH [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Dienstag, 16. August 2016 19:14
    An: Mein Name
    Betreff: Rechnung für Mein Name Nr. 674513483
    Sehr geehrte/r Mein Name,
    leider mussten wir feststellen, dass die Erinnerung Nr. 674513483 bislang ergebnislos blieb. Nun geben wir Ihnen nun letztmalig die Möglichkeit, den ausbleibenden Betrag der Firma OnlinePayment GmbH zu begleichen.
    Hinterlegte Daten:
    Mein Name
    Alte echte Adresse
    Tel. Meine Handynummer
    Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen dabei, die durch unsere Tätigkeit entstandene Gebühren von 58,30 Euro zu tragen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den fälligen Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungen bis zum 15.08.2016.
    Wir erwarten die Überweisung bis zum 18.08.2016 auf unser Bankkonto. Falls wir bis zum genannten Datum keine Überweisung einsehen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen.
    Die vollständige Forderungsausstellung ID 674513483, der Sie alle Positionen entnehmen können, ist beigefügt.
    Sollten Sie den Rechnungsbetrag bereits vorab an uns überwiesen haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt.
    Mit freundlichen Grüßen
    Abrechnung Benjamin Wolf"
    Das ist natürlich ein Betrugsversuch. Um einen gut personalisierten, sogar. Im Anhang befindet sich eine Zip-Datei: "Mein Name Abrechnung OnlinePayment GmbH.zip", welche eine weiter Zip-Datei enthält: "Meine Name 15.08.2016 Mahnung Abrechnung OnlinePayment GmbH.zip". Diese wiederum enthält eine direkt ausführebare .Com-Datei: "15.08.2016 Mein Name Mahnung Abrechnung OnlinePayment GmbH.com". In dieser ist der Trojaner enthalten.
    Virustotal.com zeigt, nur 16 der 54 Viren-Scanner erkennen diesen Virus zur Zeit. Scheinbar handelt es sich um Teslacrypt in der Version 5.

    Keiner verschickt Rechnungen, Zahlungserinnerungen oder sonstige Dokumente als Zip-Datei.
    Die E-Mail und auch ähnliche einfach ignorieren und löschen!

  • Krypto-Trojaner JS.TeslaCrypt.4.Gen. in Bewerbung von Tim Lerchner

    bewerbung fake1"Von: Tim Lerchner [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Montag, 20. Juni 2016 11:02
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Bewerbung
    Sehr geehrte Damen und Herren,
    anbei erhalten Sie meine Bewerbung für Ihre bei meinestadt.de ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
    Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.
    Mit freundlichen Grüßen,
    Tim Lerchner"
    Lieber "Tim", vielen Dank für deine Bewerbung. Deine ausführlichen Dokumente kannst du also in einer 4 kb großen Zip Datei verpacken? Das kann nicht wirklich viel sein ;)
    Nun aber mal Spaß beiseite. Diese Mail ist natürlich keine echte Bewerbung, ich habe ja auch keine Stelle ausgeschrieben. Sie enthält den Teslacrypt Trojaner der 4. Generation und zielt darauf ab, meine Daten zu kompromittieren.
    Wie immer gilt auch hier: Ignorieren und Löschen!

    Seit Ende Mai gibt es ein kostenloses Entschlüsselungstool für alle Teslacrypt Geschädigten:

    http://www.heise.de/security/meldung/Erpressungs-Trojaner-TeslaCrypt-gibt-auf-Master-Schluessel-veroeffentlicht-3210654.html

  • Kryptotrojaner im Anhang: Ihre Mai Rechnung - 0135382

    "Von: Bela Takacs [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Montag, 6. Juni 2016 09:35
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Ihre Mai Rechnung - 0135382
    Sehr geehrter Kunde,
    Wir kontaktieren Sie bezüglich der Rechnung MAI-173650-16 von Truffer Ingenieur-. Die Rechnung ist seit dem 15.Juni 2016 fällig und der ausstehende Betrag beträgt 1159.00 EUR. Wir möchten Sie höflichst bitten, den ausstehenden Betrag schnellstmöglich zu bezahlen.
    Wir danken für Ihre prompte Begleichung des Betrages. Bitte kontaktieren Sie uns, wenn Sie weitere Fragen haben.
    Mit freundlichen Grüssen.
    Bela Takacs
    Truffer Ingenieur- | 01 380 56 70"
    Mich erreichte mal wieder eine Mail mit Word-Dokument (Rechnung_Mai-16-38877.doc) im Anhang. Angeblich eine Rechnung. Kurze Rede langer Sinn: Natürlich ein Makrovirus, der einen Download-Trojaner enthält. Immerhin 15 von 56 Scannern bei Virustotal erkannten ihn.
    Jedenfalls gilt wie immer: Ignorieren, nicht Öffnen und Löschen!

  • Makro-Virus mit Trojaner Download: Rechnung Firma Bergmann & Söhne

    "Von: Hauke Nilsson [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Montag, 1. Februar 2016 09:55
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Rechnung
    --
    Mit freundlichen Grüßen aus Neumünster,
    Hauke Nilsson
    - Verkaufsberater -
    Bergmann & Söhne
    --------------------------------------------------------
    Tel : +49 4321-558 669 13
    Fax : +49 4321-558 669 29
    Email : Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    www.bergmann-soehne.de
    ---------------------------------------------------------
    Geschäftsführer: Jörn Bergmann
    Unternehmenssitz: Pinneberg
    Registergericht: Amtsgericht Pinneberg
    Registernummer: HRB 1617 EL
    Umsatzsteuer-Identifikationsnummer: DE 177610122
    Steuernr.: 18/295/23147
    Finanzamt Itzehoe"
    Im Anhang findet sich ein Word-Dokument (CCE30032015_00001.doc). Keiner der Virenscanner von Virustotal erkennt den Schädling bisher.
    Mail einfach löschen!

  • Makrovirus mit Trojaner-Download: Lieferschein Fa. Textilreinigung Klaiber

    "Von: Textilreinigung Klaiber [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Dienstag, 22. Dezember 2015 09:16
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Lieferschein

    Sehr geehrte Damen und Herren,
    in der Anlage erhalten Sie wie gewünscht den aktuellen Lieferschein.
    Bei Fragen stehen wir Ihnen gerne zur Verfügung.
    Mit freundlichen Grüßen

    Textilreinigung Klaiber
    Gewerbestrasse 39
    78054 VS - Schwenningen
    Telefon 07720 / 33238
    Telefax 07720 / 33641
    Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!"

    Auch heute erreichten mich wieder zahlreiche Makroviren mit Trojaner-Download. Neu war z.B. dieser hier. Im Anhang die 11815--113686.doc enthält den Macro.Trojan-Downloader.Agent.KF. Das Schlimme ist, das nur 1 von 54 Virenscannern den Virus erkennt. Ichhoffe die Erkennungsrate verbessert sich schnell!

    Vorsicht - Mail einfach Löschen Anhang nicht öffnen!

  • Perfider Trojaner im Anhang: Offene Betrag - Franz Himmel, Rechnung-2016-05-05.doc

    Kryptotrojaner 06 20161"Von: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!]
    Gesendet: Montag, 6. Juni 2016 15:17
    Betreff: Offene Betrag
    Guten Tag,
    Im Anhang dieser Email finden Sie Ihre Rechnung.
    Wir mussten feststellen das Sie die Rechnung immer noch nicht bezahlt haben.
    Der offene Betrag ist innerhalb von 1 Tag zu begleichen.
    Wir raten Ihnen die Rechnung sofort zu bezahlen ansonsten leiten wir dies an unser Inkasso weiter.
    Mit freudliche Grüssen,
    Franz Himmel"
    Zugesandt bekam ich heute die oben stehende Mail. Im Anhange bedindet sich ein Word-Dokument (Rechnung-2016-05-05.doc). Keiner der 56 Virenscanner bei Virustotal erkannte inen Trojaner. Trotzdem steht für mich fest, das einer enthalten ist. Die Dokumentenvorschau in MS Outlook fordert mich explizit auf, Makros im Dokument zu zulassen. Ein sehr deutlicher Hinweis auf eine kompromittierte Datei.
    Auch hier kann ich nur darauf hinweisen: Nicht Öffnen, Ignorieren, Löschen!

  • Ransomware CERBER über E-Mail "Mediamarkt": Dein Buchung wird ausgeliefert 019568

    trojaner mediamarkt1"Von: Frank Wick [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Freitag, 24. Juni 2016 05:45
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Dein Buchung wird ausgeliefert 019568
    Sehr verehrter Client,
    Vielen Dank für die Bestellung von "alfi 3522.000.150 isolierkanne."
    Geschätztes Ankunftsdatum ist morgen,
    berechnet auf Basis der eingetragenen
    Lieferadresse im mediamarkt.de Online Store.
    Um Ihren Kaufpurchasing zu bestätigen (oder abzubrechen), bitte benutzen
    Sie Ihren einzigartigen Client Identifikations Schlüssel,
    indem Sie den unten genannten
    Klicken Sie hier.
    Wir möchten uns herzlich bei Ihnen dafür bedanken, dass Sie unseren Handel
    für Ihren Kauf ausgesucht haben.
    Im Falle von Problemen, zögern Sie nicht, uns anzurufen.
    Hochachtungsvoll,
    Frank Wick"
    Hier eine fingierte E-Mail vom "Mediamarkt", welche einen Geschäftsabschluss vortäuscht. Der Link führt zu h**p://www.jobisez.com/redirect.aspx?URL=http://tvr489eo8z.vseandroidhost.ru/jy8lfawz9b . Dort holt man sich dann über die heruntergeladene ZIP-Datei einen Trojaner ab, welcher den PC verschlüsselt. Der Krypto-Trojaner CERBER ist Ransomware, welche für das entsprechende Entschlüsselungsprogramm ca. 500€ in Bitcoins verlangt. Die Erpresser erklären ausserdem, das wenn man nicht innerhalb von 5 Tagen zahlt, sich die Summe verdoppelt.
    Wie immer gilt auch hier: Ignorieren und Löschen!

  • Schutz vor Crypto-Trojaner: Datensicherung ganz einfach

    Zu allererst sollte man sein System so aktuell wie möglich halten. In den allermeisten Fällen werden die Crypto-Trojaner, wie z.B. Teslacrypt, Teslacrypt2, oder auch Locky über manipulierte MS Office Dateien (Word und Excel) auf das System gebracht. In diesen Dateien befinden sich Makros, welche den eigentlichen Virus herunterladen. Seit der MS Office Version 2003 werden Makros allerdings nicht mehr automatisch ausgeführt. Beim Öffnen der Datei wird aktive nachgefragt, ob das Makro ausgeführt werden darf. Bei einem Dokument, aus einer Quelle, welche man nicht kennt, und wenn das Dokument ansonsten auch leer ist, sollte man das natürlich nicht machen!

    Hier ein kleines Script zu komfortablen Dateisicherung auf eine, am besten jedoch mehrere externe USB-Festplatten. Wichtig ist, dass die Festplatte nach der Sicherung wieder vom System getrennt wird, da der Cryptotrojaner alle verbundenen Laufwerke und Netzwerkpfade verschlüsselt.
    Voraussetzungen:
    Man weiß wo seine wichtigen Daten liegen.
    devcon.exe muss auf dem System installiert sein - Download hier [1]. Detaillierte Infos dazu hier [2].
    Eine Batch-Datei erstellen mit diesem Inhalt und den Inhalt an das eigene System anpassen.

     

    echo USB HDD verbinden!
    REM USB Platte verbinden vorher mit "devcon listclass USB" die ID suchen hier z.B.: VID_13FD*PID_1840
    REM den individuellen Pfad zur devcon.exe finden, hier z.B. C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe
    "C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe\devcon.exe" enable USB\VID_13FD*PID_1840
    REM Datenauswählen und auf Platte kopieren
    robocopy "c:\Quellpfad1" "F:\Zielpfad1" /S /ZB /MT:8 /FFT /DST /R:5 /Log+:"C:\log1.txt"
    robocopy "d:\Quellpafd2" "F:\Zielpfad2" /S /ZB /MT:8 /FFT /DST /R:5 /Log+:"C:\log2.txt"
    echo fertig kopiert!
    REM USB HDD wieder trennen
    "C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe\devcon.exe" disable USB\VID_13FD*PID_1840
    echo USB HDD getrennt!

     

    Das Script als Administrator ausführen und schon hat man seine Daten auf der externen Platte und die Platte ist vom System getrennt und somit sicher vor Verschlüsselung durch Crypto-Trojaner. Das Script eignet sich besonders für den Taskplaner (Aufgabenplanung) um periodisch automatische Sicherungen zu erstellen.

      Wichtig ist, das die Festplatte natürlich so kurz wie möglich mit dem System verbunden ist.

    [1] http://support.microsoft.com/kb/311272/de
    [2] https://www.administrator.de/wissen/usb-wechseldatentr%C3%A4ger-devcon-entfernen-reaktivieren-164936.html

  • Trojaner im Anhang: Bestellung 96149 von Fa. Bornebusch

    bornebusch2"Von: Tobias Baum - Bornebusch [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!]
    Gesendet: Mittwoch, 16. Dezember 2015 08:42
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Bestellung 96149
    Mit freundlichen Grüßen
    Tobias Baum Chacon
    Bornebusch GmbH & Co. KG
    Welterstr. 44
    57072 Siegen
    Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    www.bornebusch.de
    tel.: +49 (271) 77 25 9-0
    fax: +49 (271) 4 45 08
    Unsere allgemeinen Geschäftsbedingungen können Sie unter http://www.bornebusch.de/agb/ einsehen.

    Geschäftsführer: Heinrich Bornebusch Amtsgericht Siegen HRB 7971
    USt.-Id.-Nr.: DE 814585776
    Steuer-Nr.: 342/5803/1390
    HINWEIS: Diese Nachricht ist vertraulich und nur für den Adressaten bestimmt.
    Sollten Sie irrtümlich diese Nachricht erhalten haben, bitte ich um Ihre Mitteilung per E-Mail oder unter der oben angegebenen Telefonnummer."

     

    ACHTUNG! auch das ist keine echte Bestellung! Die angehängte Datei 20151216084136.doc einhält einen Makro-Virus, welcher den Krypto-/ Erpressungstrojaner nachlädt und installiert.

    Mail einfach löschen! Anhang nicht öffnen!

    Die Fa. Bornebusch weiß wahrscheinlich gar nicht das in Ihrem Namen solche Mails versendet werden. Telefonisch ist auch leider keiner zu erreichen dort.

    Nur 4 von 52 Virenscannern erkennen diese Gefahr laut virustotal.com:

    Arcabit: HEUR.VBA.Trojan
    F-Secure: Trojan:W97M/MaliciousMacro.GEN
    Fortinet: WM/Agent!tr
    Qihoo-360: heur.macro.download.cc

  • Trojaner im Anhang: Paket angekommen.

    "Von: DHL Paket [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!]
    Gesendet: Mittwoch, 16. Dezember 2015 09:47
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Paket angekommen.
    Guten Tag Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Ihr Paket id_61657147 ist empfangsbereit.
    Diese e-mail ist eine Mitteilung für die Ankunft.
    Lieferung durch den Absender gezahlt.
    Die Hohe der Versicherungspaket € 1.670.
    Um das Sendung zu bekommen , bitte drucken Sie das angehangte Dokument und prasentieren sie in einem Lagerhaus.
    ===
    Herzliche Grüße
    Ihr DHL Team
    ________________________________________
    DHL Paket GmbH
    Sträßchensweg 10
    53113 Bonn

    Registergericht Bonn
    HRB 19565
    USt-IdNr.: DE 813312787
    Geschäftsführung:
    Dr. Andrej Busch
    Katja Herbst
    Norman Chmiel
    Heinrich Eilers
    Dr. Thomas Ogilvie
    Vorsitzender des Aufsichtsrates: Uwe Brinks © 2015 DHL"

    In der angehängte ZIP-Datei befindet sich ein Javascript: DHL_ID_paket.js, welches vermutlich einen Trojaner, wo möglich sogar einen Kryto-Trojaner oder Erpressungs-Trojaner.
    Grundsätzlich schickt DHL zwar Benachrichtigungen per E-Mail, aber immer ohne Anhang.
    E-Mail also löschen und keinesfalls öffnen. Nicht alle Virenscanner erkennen Ransomware in Javascripten.

    Verschiedene Scanner erkennen verschiedene Schädlinge:
    ClamAV: Suspect.Bredozip-zippwd-2
    Cyren: JS/Downldr.DB
    ESET-NOD32: JS/TrojanDownloader.Agent.OEC
    F-Prot: JS/Downldr.DB
    TrendMicro: Possible_SCRDL
    TrendMicro-HouseCall: Possible_SCRDL

  • Trojaner per Makrovirus: Bestellung Fa. BERGES Antriebstechnik

    "Von: Krell, Jürgen [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!]
    Gesendet: Freitag, 18. Dezember 2015 09:45
    An: 'Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!';
    Betreff: Bestellung

    Mit freundlichen Grüßen
    BERGES Antriebstechnik/Einkauf
    i.A. Jürgen Krell
    Leiter Einkauf

    Tel: +49 2264 17-145
    Fax: +49 2264 17-144
    E-Mail:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    --------------------------------------------
    BERGES Antriebstechnik GmbH & Co. KG
    Industriestr. 13, 51709 Marienheide
    Tel.: +49 2264 17 0, Fax: +49 2264 17 125
    E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Internet: http://www.berges.de
    ------------------------------------------------------------------------------------------------------
    USt ID-Nr.: DE122 546 223
    Handelsregister: Registergericht Köln HRA 16990
    Komplementär: BERGES Antriebstechnik GmbH
    Handelsregister: Registergericht Köln HRB 38484
    Geschäftsführer: Dipl.-Kfm. Dietmar Sarstedt, Karl-Heinz Georg
    -----------------------------------------------------------------------------------------------------"

    Und der nächste Makrovirus mit Trojaner: 13042092.doc vom gefälschten Absender Berges Antriebstechnik.
    Auch hier gilt: ungesehen löschen!
    AVware LooksLike.Macro.Malware.gen!d3 (v)
    Arcabit HEUR.VBA.Trojan
    F-Secure Trojan:W97M/MaliciousMacro.GEN
    GData Macro.Trojan-Downloader.Agent.KF
    VIPRE LooksLike.Macro.Malware.gen!d3 (v)

  • Trojaner-Download mit Excel-Datei: Neue Sicherheitsrichtlinien Deutsche Bank

    deutsche bank trojaner 07 2016"Von: Deutsche Bank Privat- und Geschaftskunden AG [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Freitag, 8. Juli 2016 07:02
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Neue Sicherheitsrichtlinien
    Deutsche Bank
    Sehr geehrter Deutsche Bank Kunde,
    wir bemühen uns stets, Ihre Sicherheit auf dem höchsten Niveau zu halten.
    Kürzlich haben wir unser Sicherheitssystem verbessert und optimiert um Sie noch besser vor Betrug zu schützen.
    Bedingt durch die neuen Sicherheitsrichtlinien bitten wir Sie, Ihre Daten, sowie Ihre Mobilfunknummer zu aktualisieren und Ihr Konto den neuen Standarts anzupassen.
    Falls in 48 Stunden keine Aktualisierung Ihrerseits erfolgt, erheben wir eine Bearbeitungsgebühr von 23,99 EUR. Der Betrag wird automatisch von Ihrem Konto eingezogen und Sie erhalten den das Schreiben innerhalb weniger Tage per Post.
    Bitte öffnen Sie die Exel-Datei im Anhang der Mail und fullen Sie die Form aus. Klicken Sie danach auf "Daten speichern", somit werden die Daten automatisch an die Bank gesendet.
    Anmerkung: Makros mussen diese aktiviert sein.
    Mit freundlichen Grüßen
    Julia Grahle
    Deutsche Bank AG
    Taunusanlage 12
    60325 FRANKFURT AM MAIN (für Briefe und Postkarten: 60262)
    DEUTSCHLAND"
    Das kam gerade frisch rein. Die subtile Drohung, wenn man nicht reagiert Kosten entstehen zu lassen, hilft möglicherweise bei Einigen. Die Excel-Datei formular_id4007134874.xls im Anhang wird aktuell jedenfalls von KEINEM der 52 Anti-Virus Tests auf virustotal.com erkannt! Vermutlich also eine neue Version eines Kryptotrojaners, wie Teslacrypt oder Locky.
    Auf jeden Fall: Datei keinesfalls öffnen und schon gar nicht, wie in der Mail gefordert, die Makros aktivieren. Dadurch startet man den Trojaner und er beginnt den Schad-Code aus dem Internet nachzuladen.
    Wie immer: Ignorieren und Löschen!

  • Verschlüsselungstrojaner "Goldeneye": "Bewerbung als Zerspanungsmechaniker" Rolf Drescher

    goldeneye trojaner bewerbung Rolf drescher"Von: Rolf Drescher [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Mittwoch, 7. Dezember 2016 00:28
    An: Echte Mailadresse
    Betreff: Bewerbung als Zerspanungsmechaniker

    Sehr geehrte Damen und Herren,
    hiermit bewerbe ich mich bei Ihnen für die die Stelle als Zerspanungsmechaniker. Meine vollständigen Bewerbungsunterlagen können Sie dem Anhang entnehmen.
    Ich freue mich auf Ihre Rückmeldung und stehe Ihnen bei Rückfragen jederzeit gerne zur Verfügung.
    Mit freundlichem Gruß

    Rolf Drescher"
    Seit gestern berichten die einschlägigen Fachmedien über einen neuen Verschlüsselungstrojaner. Dieser enthält wohl auch detaillierte Informationen über die eigene Firma und tarnt sich als raffinierte Bewerbung, auch speziell auf echte ausgeschriebene Stellen.

    Auf dem Bild Auszüge aus der PDF Datei.


    Die Infektionsrate steigt aktuell extrem an, die die meisten Virenscanner den Trojaner noch nicht kennen und die Systemadministratoren Ihre Sicherheitsmaßnahmen noch nicht darauf abgestimmt haben. Der Virus verschlüsselt alle Datei auf dem PC und auf allen erreichbaren Netzlaufwerken, angeschlossenen USB-Sticks, und USB-Festplatten.

    Grundsätzlich gilt wie immer:
    - Keine fremden E-Mails öffnen!
    - Keine Anhänge aus fremden E-Mails öffnen!
    - Keine Makros in Excel oder Word Dateien aktivieren, egal von welchem Absender!
    - Regelmäßige Datensicherung auf nicht mit dem System verbundene Datenträger!
    - Teilen Sie diese Informationen!

    [1] https://www.heise.de/newsticker/meldung/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant-3561396.html
    [2] https://www.heise.de/newsticker/meldung/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html

  • Wieder Trojaner per Makrovirus: Rechnung 31074445 - Auftrag: 530655 - Ihre Bestellung: telef. Fa. Heitmann Metallhandel

    "Von: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!]
    Gesendet: Donnerstag, 17. Dezember 2015 13:22
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Rechnung 31074445 - Auftrag: 530655 - Ihre Bestellung: telef.
    gesendet von
    Celine Kollmorgen
    Tel: 0221/7772-274 - Fax: 0221/7772-255
    --
    Heitmann Metallhandel GmbH
    Hansekai 3
    50735 Köln
    Telefon: +49 (0)221 - 77 72 - 1
    Telefax: +49 (0)221 - 77 72 - 234
    Registergericht: Köln
    Registernummer: HRB 24078
    Geschäftsführer: Werner Heitmann"

    Im Anhang wieder eine Doc-Datei mit Trojaner: 31074445.DOC. Angeblich eine Rechnung der Firma Heitmann Metallhandel GmBH aus Köln. Auch das ist wieder ein Makrovirus, der einen Trojaner nachlädt.
    Mail Löschen Anhang keinesfalls öffnen. Nur 6 von 53 Scannern erkennen den aktuell:
    AVware LooksLike.Macro.Malware.gen!d3 (v)
    Arcabit HEUR.VBA.Trojan
    ESET-NOD32 VBA/TrojanDownloader.Agent.AMS
    F-Secure Trojan:W97M/MaliciousMacro.GEN
    GData Macro.Trojan-Downloader.Agent.FV
    VIPRE LooksLike.Macro.Malware.gen!d3 (v)

Werbung

Seite durchsuchen

Member of The Internet Defense League

Anmelden

Diese Website verwendet Cookies von Google, um ihre Dienste bereitzustellen, Anzeigen zu personalisieren und Zugriffe zu analysieren. Informationen darüber, wie Sie die Website verwenden, werden an Google weitergegeben. Durch die Nutzung dieser Website erklären Sie sich damit einverstanden, dass sie Cookies verwendet. Um mehr über die Cookies und deren Entfernung zu erfahren siehe unsere Datenschutzerklärung.
Um mehr über die Cookies und deren Entfernung zu erfahren siehe unsere Datenschutzerklärung.

  Ich akzeptiere Cookies von dieser Seite.