Sicherheitswarnung: Gefahr durch E-Mails mit Erpressungstrojaner

Was sind Erpressungstrojaner?

Erpressungstrojaner - auch Ransomware genannt - verschlüsseln Daten auf Ihrer Festplatte, angeschlossenen Laufwerken, wie z.B. USB-Sticks und angebunden Netzlaufwerken, wie z.B. dem NAS-Filer oder auch Sync&Share-Ordner, falls dieser verfügbar ist. Sie haben dann keinen Zugang mehr zu Ihren Daten. Die Kriminellen hinter den Erpressungstrojanern fordern anschließend ein in Bitcoin (elektronische Währung) zu zahlendes Lösegeld. Anderenfalls sind die Daten in den meisten Fällen verloren. Wenn Sie viel Glück haben, haben die Kriminellen gepfuscht und die Verschlüsselung ist knackbar, darauf sollten Sie allerdings nicht setzen. Als Alternative bliebe das Bezahlen, allerdings raten wir davon dringend ab! Weiter unten finden Sie vorbeugende Maßnahmen, die Sie unbedingt treffen sollten, damit Ihre Daten im Fall einer Infektion nicht verloren sind. Übrigens: Erpressertrojaner gibt es für alle Plattformen, sogar für Smartphones (Android)!

Verbreitungsweg

Derzeit sind vermehrt E-Mails mit als Rechnung, Fax oder eingescanntem Bild (wie es viele Drucker heute tun) getarnten Anhängen im Umlauf. Häufig sind Office-Dokumente oder ZIP-Dateien angehängt, aber auch Links auf schadhafte Webseiten können die Verschlüsselung auslösen.

Maßnahmen

Die Virenscanner des LRZ können bereits einige Erpressungstrojaner erkennen und weisen diese E-Mails ab. Leider hinken naturgemäß die Entwickler von Virenscannern den Programmierern von Schadsoftware hinterher, so dass neueste Schadsoftware unter Umständen in Ihrem Postfach landet. Deshalb haben wir hier eine wichtige Punkte für Sie zusammengestellt:

Wir bitten Sie deshalb folgende Vorsichtsmaßnahmen zu ergreifen:

Einrichten allgemeiner SPAM-Schutz

Zusätzlich zum Virenscan untersucht das LRZ E-Mails auf Anzeichen von Spam und markiert diese E-Mails.
E-Mails mit Ransomware im Anhang weisen häufig Kennzeichen von Spam auf.  Damit können Sie diese Markierung für Ihren zweiten Schutzwall nutzen. Richten Sie in Ihrem E-Mailclient eine Regel ein, um Spam-E-Mails auszusortieren. Mehr hierzu unter www.it.tum.de/it-sicherheit/anleitungen/schutz-vor-unerwuenschten-e-mails/.

Backup

Machen Sie regelmäßig ein Backup (Sicherungskopie). Mehr zu den Backupangeboten des LRZ finden Sie unter www.lrz.de/services/datenhaltung/adsm/.
Sollten Sie ein Backup auf eine externe Festplatte oder einen USB-Stick machen, trennen Sie diese vom Rechner, wenn das Backup erstellt wurde, sonst kann es ebenfalls verschlüsselt werden.

Makros deaktivieren

 Da sich Schadsoftware auch über Office-Dokumente verbreiten kann: Führen Sie Markos in Office-Dokumenten nur aus, wenn es sich um vertrauenswürdige Dokumente handelt. Vertrauenswürdig ist keinesfalls ein Dokument, das Sie von einem unbekannten Absender oder unaufgefordert erhalten haben.
Office hat in den aktuellen Versionen die Voreinstellung, dass Markos nicht ausgeführt werden sollen. Belassen Sie es bei dieser Voreinstellung.

Ohne Adminrechte arbeiten

Arbeiten Sie an Ihrem Rechner nie mit Administratorrechten. Schadsoftware kann so noch mehr Schaden verursachen.

Sicherheitsupdates

Spielen Sie Sicherheitsupdates zeitnah ein.

Virenscanner

Stellen Sie sicher, dass Sie einen Virenscanner installiert haben und dass er sich regelmäßig aktualisiert. Das LRZ bietet für alle Mitglieder der TUM den Sophos Virenscanner an.

Informieren Sie sich

Informieren Sie sich über den Umgang mit Phishing-Mails. In den meisten Fällen können Sie die dort verwendeten Maßnahmen auch hier anwenden: http://www.it.tum.de/it-sicherheit/glossar/phishing-mails/

Im Zweifel nachfragen

Sollten Sie bei einer E-Mail Zweifel haben, ob es sich um eine legitime E-Mail oder eine Schad-E-Mail handelt, leiten Sie die E-Mail an den TUM IT-Support (it-support@tum.de) weiter, dort kann die E-Mail genauer untersucht werden. Wichtige Infos hierbei sind, ob Sie ein derartiges Dokument erwarten und ob Sie den Absender kennen.

Im Schadensfall

Weitere Informationen

Folgende weiterführende Links haben wir für Sie zusammengestellt:

Unterschiedliche Stellen warnen derzeit vor betrügerischen E-Mails, die von angeblichen Job-Bewerbern kommen, aber zum eigentlichen Ziel haben, Schaden auf dem Rechner des Empfängers zu erzeugen. Konkret soll der Empfänger auf eine angebliche DropBox-Verknüpfung klicken. Tut er dies, installiert sich eine Schadsoftwarte und die Daten auf dem Rechner werden verschlüsselt. Danach wird ein Erpresserschreiben angezeigt: Nach Zahlung des geforderten Betrags soll man angebliche wieder Zugriff auf seine Daten erhalten.
Die angeblichen Bewerber-E-Mails werden hauptsächlich an Leitungsstellen und Personalverwaltungsstellen versandt.
Die E-Mails sind im Gegensatz zu vielen anderen Schad-E-Mails in sehr gutem Deutsch abgefasst, womit ein Kriterium zu Erkennung von Schad-E-Mails entfällt. Wenn man häufiger Bewerbungen erhält, ist schnell auf den Schadlink geklickt und das Missgeschick passiert.
Unterschiedliche Stellen warnen derzeit vor betrügerischen E-Mails, die von angeblichen Job-Bewerbern kommen, aber zum eigentlichen Ziel haben, Schaden auf dem Rechner des Empfängers zu erzeugen. Konkret soll der Empfänger auf eine angebliche DropBox-Verknüpfung klicken. Tut er dies, installiert sich eine Schadsoftwarte und die Daten auf dem Rechner werden verschlüsselt. Danach wird ein Erpresserschreiben angezeigt: Nach Zahlung des geforderten Betrags soll man angebliche wieder Zugriff auf seine Daten erhalten.
Die angeblichen Bewerber-E-Mails werden hauptsächlich an Leitungsstellen und Personalverwaltungsstellen versandt.
Die E-Mails sind im Gegensatz zu vielen anderen Schad-E-Mails in sehr gutem Deutsch abgefasst, womit ein Kriterium zu Erkennung von Schad-E-Mails entfällt. Wenn man häufiger Bewerbungen erhält, ist schnell auf den Schadlink geklickt und das Missgeschick passiert.