Vor einer neuen Ransomware namens Jaff, die derzeit auch in Deutschland verteilt wird, warnt die Polizei Niedersachsen. Demnach wird der Schädling aktuell „verstärkt per E-Mail verschickt“. In einer Word-Datei, die an eine PDF-Datei angehängt ist, befindet sich die Erpressersoftware.

Mit dem Betreff „Invoice“ soll die E-Mail die Aufmerksamkeit der Nutzer wecken. Innerhalb der E-Mail ist ein kurzer Text, der den Benutzer auffordert, die angehängte PDF-Datei zu öffnen. Allerdings handelt es sich dabei nicht um die angekündigte Rechnung, sondern um ein Word-Dokument, das per JavaScript geöffnet werden soll. Dies muss der Nutzer zuerst bestätigen. Anschließend warnt Microsoft Word vor dem Ausführen von Makros, welches der Nutzer ebenfalls bestätigen muss, bevor die Ransomware, die dann automatisch ausgeführt wird, heruntergeladen wird.

Im Hintergrund beginnt Jaff dann mit der Verschlüsselung von Dateien, die mit der Endung „.wlu“ versehen werden. In jedem Ordner wird außerdem eine Anleitung zur Entschlüsselung der Dateien in den Dateiformaten txt, html und png gespeichert. Die eigentliche Lösegeldforderung auf einer Onion-Site der Kriminellen, die nur über den Tor-Browser aufgerufen werden kann.

Trotz der zu überwindenden Warnhinweise geht die Polizei Niedersachsen davon aus, dass Jaff auch hierzulande Opfer finden wird. Der Umweg über die PDF-Datei kann laut den Ermittlern helfen, das schädliche Makro im Word-Dokument vor einer Erkennung durch Antivirensoftware zu schützen.

(ts, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE