Live-Hack

Grandcrab: So schützen Sie sich vor dieser Ransomware

Mit Gandcrab ist gerade eine aggressive Malware in Umlauf, die von Antiviren-Software oft nicht erkannt wird. Hacker verschicken sie als interessant gemachte Bewerbung an Personaler. Einmal aktiviert, erpresst sie die Empfänger.

Grandcrab: So schützen Sie sich vor der Ransomware, die am Virenschutz vorbei geht

© HomeSecurity.com

Gandcrab im Anflug: Mit diesem Social Hack mogelt sich der Trojaner am Word-Schutz vorbei.

Dank Fachkräftemangel freuen sich Personalabteilungen heutzutage über jede Bewerbung. Wer allerdings ein gut gemachtes Anschreiben mit Anhang bekommt, das erst über ein Passwort entschlüsselt werden muss und danach in Word Makros ausführen möchte, wird damit wenig Freude haben. 

Er sollte die Datei auf keinen Fall öffnen, denn wahrscheinlich handelt es sich um die Ransomware Gandcrab. Nach erfolgreicher Ausführung verschlüsselt sie die Festplatte und verlangt Lösegeld. 

Das Besondere an der Personaler-Version: Durch die Verschlüsselung des Anhangs wird der Trojaner von gängiger Antivirus-Software meist nicht erkannt. 

Kurz nach dem ersten Auftreten des Schädlings schlug nicht ein einziger der 56 Tools auf virustotal.com an, mittlerweile kennen ihn schon fünf. 

Der Betreff der E-Mail lautet Bewerbung für die ausgeschriebene Stelle oder Bewerbung auf Ihre Stellenausschreibung – ist also völlig unauffällig. 

Das Passwort zum Entschlüsseln steht in der E-Mail. Auch das ist in Zeiten vermehrten Datenmissbrauchs nicht ungewöhnlich.

Mehr lesen

Trojaner Computer Virus (Symbolbild)
10 Tipps

Malware wie Ransomware nistet sich oft unbemerkt im Rechner ein. Mit den richtigen Tools und Vorgehensweisen vermeiden oder entfernen Sie sie.

Das passiert im Hintergrund 

Die Worddatei hat einen Namen wie 837625143.doc. Öffnet man nach der Entschlüsselung die Bewerbung in Word, kommt die Warnmeldung Diese Datei wurde mit einer früheren Version von Word erstellt, klicken Sie auf Inhalte aktivieren usw. 

Manche Mails fordern auch auf, Schriften nachzuinstallieren. Alles ist so gemacht, dass das Opfer wenig Verdacht schöpft. Mit Inhalte aktivieren startet aber ein Makro mit fatalen Folgen: 

Das bösartige Skript startet in einem versteckten Terminal eine Powershell, lädt damit eine Version des extrem aggressiven Trojaners Gandcrab nach und startet diesen. Dieser wiederum verschlüsselt die Festplatte und ersetzt den Desktop-Hintergrund mit einem Bild der Lösegeld-Forderungen. 

Scheinbar funktioniert das Makro nur in Microsoft Word, nicht aber in LibreOffice. Auch Mac-User sollten mangels Powershell auf der sicheren Seite sein.

Grandcrab: So schützen Sie sich vor der Ransomware, die am Virenschutz vorbei geht

© Screenshot & Montage: PC Magazin

Makros abschalten: Deaktivieren Sie die Ausführung von Word-Makros über Optionen/Trust-Center.

So schützen Sie sich

Schützen kann man sich vor allem vor dem ersten Befall. Dazu sollten Sie in Word überprüfen, ob die Makro-Einstellung richtig gewählt ist. Gehen Sie über Datei/Optionen auf den Reiter Trust Center, und wählen Sie Einstellungen für das Trust Center öffnen

Es erscheint ein weiteres Fenster mit dem Reiter Makro-Einstellungen. Hier muss eine der zwei oberen Einstellungen, zumindest aber Alle Makros mit Benachrichtigung deaktivieren ausgewählt sein. Sonst ändern Sie das bitte. 

Generell sollten Sie nie Makros in Word-Dateien aktivieren – es sei denn, sie haben persönlich beim Versender nachgefragt, ob diese Datei in Ordnung ist. Wenn Sie schon erpresst werden, kann eventuell die Webseite NoMoreRansom.org helfen. 

Dort bietet eine Initiative aus Polizei und Antiviren-Herstellern spezielle Software an, die einige Verschlüsselungen entfernen können. Oft müssen Sie ein paar Monate warten, bis der Sie betreffende Trojaner geknackt wurde.

Mehr lesen

Cryptolocker Meldung
Lösegeld? Nein Danke!

Wenn der Erpressungstrojaner zuschlagen, sind alle Daten weg – erst mal. Zahlen Sie jedoch nicht! Oft lassen sich die Dateien leicht retten.

Mehr zum Thema

WannaCry-Ransomware
Erpressungs-Trojaner

Opfer von WannaCry bekommen erste Entschlüsselungs-Tools, die Erfolgsaussichten sind jedoch gering. Dazu stellt sich heraus: Vorrangig Windows 7 ist…
So werden Sie Ransomware los
Ransomware

Das LKA Niedersachsen warnt vor der Ransomware Jaff. Cyberkriminelle verschicken den Erpressungs-Trojaner per E-Mail. Lesen Sie hier die Details.
BadRabbit Ransomware
Warnung vor Erpressertrojaner

Die neue Ransomware BadRabbit befällt vermehrt Rechner in Europa. Bei einer Infektion gehen alle Daten verloren.
Petya-Version 2.0 Green Petya
Ransomware

Die Malware Petya gehört zum gefährlichsten, was sich Ihr PC einfangen kann. Daher hat sie auch viele Nachahmer gefunden. Wir klären auf.
Cyberkriminelle sind aktuell mit Phishing-Mails hinter Paypal-Kunden her.
Trojaner, Viren und Ransomware in Mails versteckt

Die Polizei Niedersachsen warnt aktuell vor Phishing-Mails, die angeblich von Telekom, Ebay, comdirect oder Kabelmail stammen. So erkennen Sie den…