DATARECOVERY® Datenrettung: Achtung, Verschlüsselungstrojaner GandCrab tarnt sich in Bewerbermails

Vor wenigen Tagen wurden E-Mails mit der Ransomware „GandCrab“ in einer groß angelegten Spamaktion zugestellt. Vor allem Personalabteilungen und andere Personalverantwortliche in den Unternehmen werden hier direkt adressiert. Unter anderem Heise Security berichtete über die Verbreitung der Bewerbungsmails.

Bei DATARECOVERY® in Leipzig haben sich allein in dieser Woche über 50 Firmen gemeldet, deren Daten unfreiwillig durch GandCrab verschlüsselt wurden. Die Spezialisten für Datenrettung empfehlen auf keinen Fall auf die Lösegeldforderung und die Zahlung mit Bitcoin einzugehen. Das Risiko, dass trotz der Zahlung noch immer die Daten verschlüsselt bleiben ist enorm hoch. In vielen Fällen sind die Zelte der Erpresser bereits abgebrochen, zum Beispiel weil Ermittlungen der jeweiligen Strafverfolgungsbehörden die Fährte aufgenommen haben.

Wenn der Anhang geöffnet wurde oder gar schon wichtige Daten durch den Trojaner verschlüsselt wurden, empfiehlt Lars Müller, technischer Leiter bei DATARECOVERY® folgende Schritte:


  • Backup-Festplatten schnellstmöglich vom PC trennen
  • Netzwerkverbindungen unterbrechen, am Besten das Netzwerkkabel aus dem PC entfernen
  • IT-Sicherheitsbeauftragten informieren, damit sofort reagiert werden kann und weitere Mitarbeiter vor der Gefahr gewarnt werden.
  • E-Mail zur späteren Analyse aufbewahren, aber den Anhang keinesfalls erneut öffnen.
  • IT-Forensiker bzw. spezialisiertes Datenrettungsunternehmen kontaktieren für eine erste Einschätzung des Schadens und den Möglichkeiten der Wiederherstellung der Daten.

Wie versteckt sich GandCrab in der E-Mail?

Es handelt sich beim Inhalt um eine angebliche Bewerbung auf eine ausgeschriebene Stelle. Die Namen der Fake-Bewerber sowie das jeweilige Foto im Anhang variieren jeweils. Die Gefahr steckt jedoch in der als ZIP File gepackten Datei, die sich ebenfalls im Anhang der E-Mail befindet. Wird dieses Archiv entpackt und die darin enthaltene .exe Datei ausgeführt, installiert sich der Crypto-Trojaner und verschlüsselt sämtliche Daten auf dem Windows Computer und auch auf sämtlichen von diesem PC aus erreichbaren Netzwerkressourcen, also Backup-Datenträgern, zentralen Shares, oder NAS Systemen . Die verschlüsselten Dateien werden anschließend mit der Dateiendung „.krab“ versehen.

GandCrab ist kein neuer Schädling, die Version 3 kursiert bereits seit dem zweiten Quartal 2018 im Netz. Die Malware wurde in zahlreichen Varianten anderer E-Mails gesichtet. So unter anderem auch als getarnte Bestellung mit dem Betreff „Order #00001“, wobei eine beliebige Ziffer als Bestellnummer generiert wurde. Die im ZIP File versteckte .exe Datei ist ein VBS Downloader (Visual Basic Script), welcher den Virus dann auf dem PC installiert. Bei der Bewerbermail Version haben wir es bereits mit der Version 4 der Ransomware zu tun.

Weitere Informationen finden Sie auch hier: https://www.recoverylab.de/datenrettung-nach-trojaner-befall-verschluesselte-daten-wiederherstellen/

Über die DATARECOVERY® Datenrettung: c/o: Bindig Media® GmbH

DATARECOVERY® mit Sitz in Leipzig ist auf Datenrettungen von digitalen Speichermedien spezialisiert. Als Western Digital Platin-Partner für Datenwiederherstellung werden hochqualitative Lösungen für Kunden mit Datenverlusten jeder Art bereitgestellt. Mit umfangreichem Know-how und über 25 Jahren Erfahrungen gehört das Unternehmen zu den Marktführern in der Branche für Reverse Engineering. Neben Festplatten, Flashspeichern und RAID-Arrays gehören auch komplexe logische Speicherarchitekturen wie Software defined Storages zu den häufigsten Medien die bei DATARECOVERY® regelmäßig wiederhergestellt werden.

Neben einer eigenen Forschungs- und Entwicklungsabteilung stehen ein Reinraumlabor und hochmoderne eigene Softwareprodukte zur Verfügung. Das Unternehmen verzichtet aus Qualitätsgründen auf Standard-Tools.

Firmenkontakt und Herausgeber der Meldung:

DATARECOVERY® Datenrettung: c/o: Bindig Media® GmbH
Nonnenstr. 17
04229 Leipzig
Telefon: +49 (341) 6982259
Telefax: +49 (341) 6400583
http://www.bindig-media.de

Ansprechpartner:
Ute Dietrich
Redaktion
Telefon: +49 (341) 392817-89
E-Mail: presse@datarecovery.eu
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.