Seit dem 06.12.2016 verbreitet sich bei einer Vielzahl von Unternehmen der Verschlüsselungstrojaner „Goldeneye“. Wir haben den Trojaner mal gründlich unter die Lupe genommen und möchten unsere Erfahrungen mit Ihnen teilen.
Der Krypto-Trojaner ist getarnt als Bewerbungs-Mail und so geschickt gemacht, dass hier vermutlich jeder Personalmitarbeiter die angehangenen Dokumente aufrufen würde – zumal es einen Bezug auf aktuell ausgeschriebene Stellen des jeweiligen Unternehmens gibt!
Die E-Mail enthält zwei Dateien, wie auf den Bildern oben zu erkennen ist. Die eine Datei ist eine harmlose PDF Datei, die keinerlei ausführbaren Code beinhaltet. Der eigentliche Trojaner wird durch ein Makro der Excel Datei eingeschleust. Hierbei wird der Benutzer dazu verleitet, die Makros zu aktivieren:
Sobald die Makros aktiviert werden, ist es in aller Regel zu spät. Es werden anschließend zwei EXE-Dateien erzeugt. In unserem Test trat daraufhin ein Bluescreen auf, anschließend startete der Client neu und es wurde angeblich „Checkdisk“ ausgeführt. Tatsächlich jedoch werden die Dateien des Systems verschlüsselt und nach Abschluss wird folgendes deutlich:
Die Herausgabe des Schlüssels für die Entschlüsselung wird mit Geld erpresst. Die Bezahlung soll über Bitcoins erfolgen, es werden umgerechnet ca. 940€ verlangt.
In einem konkreten Fall bei einem unserer Kunden konnten wir feststellen, dass auch dieser zum Ziel der Angreifer geworden ist. Glücklicherweise wurde bei genau diesem Kunden vor kurzer Zeit eine neue Sophos UTM mit Sandstorm Funktionalität implementiert, wodurch die Mails direkt am E-Mail Gateway abgefangen werden konnten. Zu diesem Zeitpunkt gab es noch keinerlei Signaturen für die Virenscanner des Gateways und des Endpoints, sodass die Mails auf den Rechner gelangt und höchstwahrscheinlich ausgeführt worden wären.
Bei einem Ausführungstest des Tojaners auf einem Client, der mit dem neuen Sophos Intercept X Endpoint Schutz ausgestattet war, stellte sich heraus, dass die Infektion nach Ausführung der Makros verhindert werden konnte. Es wurde sofort erkannt, dass die Excel Datei versucht ausführbare Dateien zu aktivieren.
Die neuen Sophos Security Lösungen machen also durchaus Sinn und wir haben bereits einige Kunden damit zufrieden stellen können. Die meisten Hersteller liefern mittlerweile Signaturen für ihre Virenscanner. Hier muss dazu gesagt werden, dass die Dokumente immer wieder in anderer Form auftauchen, sodass ein signaturbasierter Virenscanner keinen ausreichenden Schutz darstellt.
Als zusätzlichen Schutz empfiehlt es sich Office Makros komplett zu deaktivieren und regelmäßig Backups durchzuführen.
Bei Fragen oder Unterstützung stehen wir gerne zur Verfügung.