Zahlungsaufforderung der Erpressungssoftware Jaff
Bild: LKA Niedersachsen
Niedersachsens Landeskriminalamt warnt vor einer per
E-Mail versandter Erpressungssoftware. Das Programm mit dem Namen
"Jaff" kommt als vermeintliche Rechnung getarnt mit dem Betreff "Invoice" und anschließender zufälliger Nummer ins
Postfach. Ein kurzer Text fordert zum Öffnen der
Rechnung im Anhang auf. Wer eine solche Mail erhält, sollte sie am besten
sofort löschen.
Das PDF-Dokument im Anhang enthält nämlich ein integriertes
Word-Dokument, das über ein Makro selbsttätig weitere Software auf
den Computer laden kann. Über diesen Weg wollen die unbekannten
Absender den Erpressungs-Trojaner auf den Rechner schleusen. Er
verschlüsselt im Hintergrund Dateien und fordert für deren Freigabe
Geld in der Digitalwährung Bitcoin.
Wer die Mail öffnet, hat eine letzte Gelegenheit, die Infektion mit
der Schadsoftware zu verhindern. Denn vor Ausführung des Makros
erscheint eine Sicherheitswarnung. Hier darf auf keinen Fall das
Ausführen von Makros erlaubt werden. Stattdessen sollten Nutzer auf
"Abbrechen" klicken und die Mail schleunigst löschen.
Was bewirkt die Verschleierung per PDF-Datei?
Zahlungsaufforderung der Erpressungssoftware Jaff
Bild: LKA Niedersachsen
Der Umweg über die PDF führt laut dem LKA hier also zunächst zu einer sinnvollen Sicherheitsabfrage, die vom Anwender bestätigt werden muss. Für die Täter hat das Prozedere den Vorteil, dass der PDF-Anhang seltener durch Antivirensoftware herausgefiltert wird und im Allgemeinen als sicher betrachtet werden dürfte.
Nach der erfolgreichen Verschlüsselung sind die Dateien nach Auskunft des LKA übrigens mit der Endung ".wlu" versehen und die Entschlüsselungsanweisungen sind als .html, .txt und .png in jedem Ordner gespeichert.
Sinnvoll ist es in jedem Fall, ein regelmäßiges Backup nicht nur der privaten Daten, sondern der kompletten Festplatte anzulegen, beispielsweise mit einem Imaging-Programm. Dann kann ein funktionierendes Image der Festplatte zurückgespielt werden, wenn ein derartiger Schaden unabsichtlich ausgelöst wurde.
Update 26. Juni: Entschlüsselungstool verfügbar
Der seit Anfang Juni aktive Krypto-Trojaner Jaff
ist geknackt worden. Mit einem kostenlosen Entschlüsselungs-Tool
namens Rakhni-Decryptor können Opfer der Schadsoftware ihre Daten
wieder nutzbar machen. Darauf weist das Bundesamt für Sicherheit in
der Informationstechnik (BSI) hin. Der Rakhni-Decryptor kann etwa auf
der von Europol mitgetragenen Seite Nomoreransom.org heruntergeladen
werden.
Ein Erpressungstrojaner war auch der kürzlich aufgetretene WannaCry-Virus.