[Ransomware] Vorgebliche Fax-Benachrichtigung enthält URL zu Verschlüsselungssoftware
(2019-09-24 13:19:01.206751+00)
Derzeit erhalten Benutzer per E-Mail Benachrichtigungen zu einem vorgeblich für sie unter einem in der Nachricht enthaltenen URL hinterlegten Fax und die Aufforderung, dieses herunterzuladen und zu betrachten. Das Herunterladen und Betrachten der hinterlegten Datei führt jedoch zur Installation von Ransomware, die unmittelbar beginnt, die Daten, auf die vom betroffenen Rechnersystem zugegriffen werden kann, zu verschlüsseln.
Inhalt
Zusammenfassung
| Einfallstor: | |
| Auswirkung: | Verschlüsselung von Daten auf dem betroffenen Rechnersystem |
| Typ: | Ransomware |
| Gefahrenpotential: | hoch |
Beschreibung
Die Nachrichten tragen den Absender der Form "eFax-Dienst <Vorname.Nachname@efaxclient.xyz>" (wobei jeweils verschiedene Vornamen und Nachnamen eingesetzt sind) und sehen wie folgt oder ähnlich aus:
Faxnachricht fur pc-support@tik.uni-stuttgart.de Sie haben am Donnerstag, 23.09.2019, ein einseitiges Fax erhalten. * die Referenznummer fur dieses Fax ist an efax-59541875233-4671-30253. Bitte laden Sie Microsoft Word-Anhang herunter und betrachten Sie ihn. Bitte besuchen Sie www.efax.eu/faq, wenn Sie Fragen zu dieser Nachricht habenoder Ihre Dienstleistung efax-59541875233-4671-30253.doc
Da die E-Mail-Nachrichten selbst keine Malware enthalten, warnen installierte Malwarefilter u.U. nicht. Auch der am zentralen Mailrelay installierte Filter für Office-Anhänge mit Makros kann die Zustellung dieser Nachrichten nicht verhindern.
Gegenmaßnahmen
- Sofern Sie eine solche Nachricht erhalten,laden Sie auf keinen Fall die vermeintliche Fax-Nachricht, klicken Sie auf keine enthaltenen URLs!
- Die wirksamste Gegenmaßnahme ist nach wie vor das gesunde Misstrauen des Benutzers und die Vorsicht beim Umgang mit Links auf fremde Seiten!
- Die Stabsstelle Informationssicherheit (RUS-CERT) sperrt die IP-Adressen der Server, auf denen bekanntermaßen die nachzuladende Malware vorgehalten wird, so dass diese nicht mehr auf Rechner im Uni-Netz nachgeladen werden können. Diese Maßnahme ist jedoch nur ein Notbehelf, der einen Teil der Gefahr bannt.
Weitere Information zu diesem Thema
- Beachten Sie die Hinweise der Stabsstelle Informationssicherheit (RUS-CERT) zu Malware.
- Siehe auch: Betriebsmeldung des TIK zu diesem Thema.
Weitere Artikel zu diesem Thema:
- Maßnahmen gegen E-Mails mit Schadsoftware (u.a. Emotet/Trickbot) (2018-12-07)
Um die seit einiger Zeit stark vermehrt auftretende Malware, die Makros in Microsoft Office Dokumenten nutzt (u.A. Emotet), effektiver zu bekämpfen, wurde Anfang Dezember 2018 auf den zentralen Mailservern der Universität Stuttgart eine Maßnahme ergriffen, die die Last der E-Mails mit infektiösen Anhängen drastisch senken konnte. Die Maßnahme verhindert die Annahme von Nachrichten, die von einem Server außerhalb der Universität gesendet wurden und eine Microsoft-Office-Datei mit Makros als Anhang besitzen. Dies führt dazu, dass Mails mit Makro-basierter Malware im Anhang ausgefiltert werden, verhindert jedoch auch, dass legitime E-Mails mit einem solchen Anhang, die über die zentralen Mailrelays gesendet werden, angenommen und an den vorgesehenen Empfänger an der Uni ausgeliefert werden. Für diese Fälle wird empfohlen, entweder Anhänge ohne Makros zu versenden oder die Dokumente in anderen Formaten (etwa PDF) anzuhängen.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1761