Goldeneye ransomware has been reactivated

Goldeneye wurde reaktiviert

Cyberkriminelle nutzen gerne Namen aus der Pop-Kultur: Das gab es schon mal Verweise auf Pokémon, Mr. Robot und viele weitere. Dieses Mal scheint sie sich auf den James Bond Film von 1995 beziehungsweise auf ein bestimmtes Gerät, das im Film erscheint, zu beziehen: Eine sowjetische, elektromagnetische Satellitenwaffe aus dem Kalten Krieg. Das scheint aber auch schon die einzige Gemeinsamkeit zum gewählten Namen zu sein.

Goldeneye wurde in Deutschland in einer gefälschten Bewerbungsemail entdeckt. Diese E-Mail kommt mit einer Excel-Datei im Angang, in der eine Makro-Schwachstelle ausgenutzt wird, durch die der Angreifer ins System gelangt. Sobald man die Excel-Datei öffnet und Macros einschaltet, kann man alle Hoffnung fahren lassen: Der Infektionsprozess hat begonnen.

Goldeneye ransomware has been reactivated

Die Excel-Datei wird zwei .exe-Dateien ausführen, die sich um den Start der Infektion kümmern. In unserem vorhandenen Beispiel wird eine .txt-Datei mit dem folgenden Text auf dem Desktop abgelegt. Dabei wird freundlicherweise noch erklärt, wie man den Tor-Browser installiert und wie man wieder an die eigenen Daten herankommt:

Goldeneye ransomware has been reactivated

Wenn man schnell genug lesen kann, kann man also tatsächlich erfahren, dass man von Ransomware infiziert wurde. Sie haben aber gar keine Zeit, sich großartig darüber zu ärgern, Ihr System crasht nun nämlich einfach:

Goldeneye ransomware has been reactivated

Vermutlich wird Goldeneye mehr als eine Verschlüsselungsmethode nutzen, da die Textnachricht und der Infektionstypus nicht so wirklich zusammenpassen. In der Textdatei geht es um eine Dateientschlüsselung, aber was wir hier haben ist etwas anderes: Anstelle einer Verschlüsselung von Dateien wird der Zugriff auf das gesamte System gesperrt. Der MBR (Master Boot Record) des Systems wird mit dem eigenen Boot-Loader überschrieben, der nach dem Systemcrash einen speziell angepassten Kernel stellt. Der Kernel setzt dann nach dem Crash und dem Neustart die Verschlüsselung des Systems fort während sie in dem Glauben gelassen werden, dass das System nun repariert wurde.

Goldeneye ransomware has been reactivated

Nach getaner Arbeit erzählt Ihnen Goldeneye, dass das gesamte Laufwerk verschlüsselt wurde, es verschlüsselt jedoch das MFT (Master File Table) was verhindert, dass wir Lesezugriff auf das System mehr. Aber Moment mal! Das mit den Job-Bewerbungen kennen wir doch schon. Die Schadsoftware nennt sich zwar Petya und nicht Goldeneye – der Rest ist jedoch gleich.


Ähnlicher Artikel

https://blog.avira.com/de/petya-hr-engineering/


Goldeneye ransomware has been reactivated

Selbst wenn es sich Goldeneye Ransomware nennt, ist das Verhalten doch das gleiche wie bei Petya. Sogar die Nachrichten gleichen sich wie ein Ei dem anderen – im Text wurde lediglich „Dateien“ mit „Hard disks“ ausgetauscht.

Goldeneye ransomware has been reactivated

Sie können im Voraus nicht wissen, durch welche Hintertür Schadsoftware einfallen wird. Cyberkriminelle nutzen sogenannte Social Engineering-Tricks, um Nutzer dazu zu bringen, ihre Dateien zu öffnen. Und sie werden immer kreativer damit (dieses Mal war es eine Job-Bewerbung). Seien Sie also stets wachsam. Denken Sie zweimal darüber nach, ob Sie einen E-Mail-Anhang oder einen Link öffnen. Wenn Sie auch nur den kleinsten Verdacht haben, dass es irgendeine Art von Schadsoftware sein könnte, dann werden Sie die E-Mail schnellstmöglich los.

Wie dem auch sei: Wir erkennen diese Schadsoftware bereits – dahingehend können Sie sich also sicher fühlen!

Dieser Artikel ist auch verfügbar in: Englisch