Live-Hack

Grandcrab: So schützen Sie sich vor dieser Ransomware

11.6.2019 von David Göhler

Mit Gandcrab ist gerade eine aggressive Malware in Umlauf, die von Antiviren-Software oft nicht erkannt wird. Hacker verschicken sie als interessant gemachte Bewerbung an Personaler. Einmal aktiviert, erpresst sie die Empfänger.

ca. 1:55 Min
Ratgeber
VG Wort Pixel
Grandcrab: So schützen Sie sich vor der Ransomware, die am Virenschutz vorbei geht
Gandcrab im Anflug: Mit diesem Social Hack mogelt sich der Trojaner am Word-Schutz vorbei.
© HomeSecurity.com

Dank Fachkräftemangel freuen sich Personalabteilungen heutzutage über jede Bewerbung. Wer allerdings ein gut gemachtes Anschreiben mit Anhang bekommt, das erst über ein Passwort entschlüsselt werden muss und danach in Word Makros ausführen möchte, wird damit wenig Freude haben. 

Er sollte die Datei auf keinen Fall öffnen, denn wahrscheinlich handelt es sich um die Ransomware Gandcrab. Nach erfolgreicher Ausführung verschlüsselt sie die Festplatte und verlangt Lösegeld. 

Das Besondere an der Personaler-Version: Durch die Verschlüsselung des Anhangs wird der Trojaner von gängiger Antivirus-Software meist nicht erkannt. 

Kurz nach dem ersten Auftreten des Schädlings schlug nicht ein einziger der 56 Tools auf virustotal.com an, mittlerweile kennen ihn schon fünf. 

Der Betreff der E-Mail lautet Bewerbung für die ausgeschriebene Stelle oder Bewerbung auf Ihre Stellenausschreibung – ist also völlig unauffällig. 

Das Passwort zum Entschlüsseln steht in der E-Mail. Auch das ist in Zeiten vermehrten Datenmissbrauchs nicht ungewöhnlich.

Mehr lesen

Trojaner Computer Virus (Symbolbild)

10 Tipps

Ransomware vermeiden und entfernen: So schützen Sie sich

Malware wie Ransomware nistet sich oft unbemerkt im Rechner ein. Mit den richtigen Tools und Vorgehensweisen vermeiden oder entfernen Sie sie.

Das passiert im Hintergrund 

Die Worddatei hat einen Namen wie 837625143.doc. Öffnet man nach der Entschlüsselung die Bewerbung in Word, kommt die Warnmeldung Diese Datei wurde mit einer früheren Version von Word erstellt, klicken Sie auf Inhalte aktivieren usw. 

Manche Mails fordern auch auf, Schriften nachzuinstallieren. Alles ist so gemacht, dass das Opfer wenig Verdacht schöpft. Mit Inhalte aktivieren startet aber ein Makro mit fatalen Folgen: 

Das bösartige Skript startet in einem versteckten Terminal eine Powershell, lädt damit eine Version des extrem aggressiven Trojaners Gandcrab nach und startet diesen. Dieser wiederum verschlüsselt die Festplatte und ersetzt den Desktop-Hintergrund mit einem Bild der Lösegeld-Forderungen. 

Scheinbar funktioniert das Makro nur in Microsoft Word, nicht aber in LibreOffice. Auch Mac-User sollten mangels Powershell auf der sicheren Seite sein.

Grandcrab: So schützen Sie sich vor der Ransomware, die am Virenschutz vorbei geht
Makros abschalten: Deaktivieren Sie die Ausführung von Word-Makros über Optionen/Trust-Center.
© Screenshot & Montage: PC Magazin

So schützen Sie sich

Schützen kann man sich vor allem vor dem ersten Befall. Dazu sollten Sie in Word überprüfen, ob die Makro-Einstellung richtig gewählt ist. Gehen Sie über Datei/Optionen auf den Reiter Trust Center, und wählen Sie Einstellungen für das Trust Center öffnen

Es erscheint ein weiteres Fenster mit dem Reiter Makro-Einstellungen. Hier muss eine der zwei oberen Einstellungen, zumindest aber Alle Makros mit Benachrichtigung deaktivieren ausgewählt sein. Sonst ändern Sie das bitte. 

Generell sollten Sie nie Makros in Word-Dateien aktivieren – es sei denn, sie haben persönlich beim Versender nachgefragt, ob diese Datei in Ordnung ist. Wenn Sie schon erpresst werden, kann eventuell die Webseite NoMoreRansom.org helfen. 

Dort bietet eine Initiative aus Polizei und Antiviren-Herstellern spezielle Software an, die einige Verschlüsselungen entfernen können. Oft müssen Sie ein paar Monate warten, bis der Sie betreffende Trojaner geknackt wurde.

Mehr lesen

Cryptolocker Meldung

Lösegeld? Nein Danke!

Ransomware erkennen und Daten retten

Wenn der Erpressungstrojaner zuschlagen, sind alle Daten weg – erst mal. Zahlen Sie jedoch nicht! Oft lassen sich die Dateien leicht retten.

Mehr lesen

Chronologische Liste und Netflix-Links

Marvel-Filme- und -Serien: Das ist die richtige Reihenfolge

Neuerscheinungen in der Übersicht

Netflix: Neue Filme und Serien

Vorschau auf Film- und Serien-Highlights

Amazon Prime Video: Neuheiten

Weiter zur Startseite  

Mehr zum Thema

WannaCry-Ransomware

Erpressungs-Trojaner

WannaCry: Erste Entschlüsselungs-Tools, fast nur Windows 7…

Opfer von WannaCry bekommen erste Entschlüsselungs-Tools, die Erfolgsaussichten sind jedoch gering. Dazu stellt sich heraus: Vorrangig Windows 7 ist…

So werden Sie Ransomware los

Ransomware

Jaff: Polizei warnt vor neuem Erpressungs-Trojaner

Das LKA Niedersachsen warnt vor der Ransomware Jaff. Cyberkriminelle verschicken den Erpressungs-Trojaner per E-Mail. Lesen Sie hier die Details.

BadRabbit Ransomware

Warnung vor Erpressertrojaner

Bad Rabbit Ransomware: Neue Petya-Variante schlägt zu

Die neue Ransomware BadRabbit befällt vermehrt Rechner in Europa. Bei einer Infektion gehen alle Daten verloren.

Cyberkriminelle sind aktuell mit Phishing-Mails hinter Paypal-Kunden her.

Trojaner, Viren und Ransomware in Mails versteckt

Phishing-Warnung: Polizei warnt vor angeblichen Telekom- und…

Die Polizei Niedersachsen warnt aktuell vor Phishing-Mails, die angeblich von Telekom, Ebay, comdirect oder Kabelmail stammen. So erkennen Sie den…

© wk1003mike / shutterstock

Erpressungstrojaner

Ransomware: So erkennen, entfernen & schützen Sie sich

Die Erpresser werden immer geschickter und verwenden immer perfidere Trojaner. Wenn Sie Opfer geworden sind, lohnt es sich, statt zu zahlen, auf ein…