Derzeit kursiert eine gefakte Bewerbung von "Peter Reif" im Internet. Nach dem Öffnen des Dateianhangs verschlüsselt ein Schädling Daten und fordert Lösegeld.

Wer dieser Tage eine E-Mail mit dem Betreff "Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif" erhält, sollte die Mail umgehend löschen und den Dateianhang unter keinen Umständen öffnen. Berichten zufolge variiert der Namen in den Mails und es gibt auch Versionen mit beispielsweise "Peter Schnell", "Caroline Schneider" und "Viktoria Henschel". Leser haben heise Security eine Mail mit dem gefährlichen Anhang weitergeleitet.

Der Empfang der Mail und das Entpacken des Archivs löst nach jetzigem Kenntnisstand noch keine Infektion aus. Erst wer das Archiv entpackt und die darin enthaltene Datei öffnet, holt sich einen Windows-Erpressungstrojaner auf den Computer, der Dateien verschlüsselt und erst nach einer Lösegeld-Zahlung wieder freigeben will. Dem Online Analysedienst Virustotal zufolge handelt es sich dabei um die Ransomware GandCrab 5.0.4.

Infektionsvorgang

Die Mail ist in sauberem Deutsch formuliert und im Anhang der Mail befindet sich ein passwortgschütztes RAR-Archiv, in dem sich die Datei "Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe" befindet. Das Kennwort für das Archiv findet sich in der Nachricht.

In der Mail steht, dass der Fake-Bewerber das Archiv aus Gründen der Privatsphäre mit einem Kennwort geschützt hat – das ist aber Blödsinn. Die Drahtzieher der Kampagne haben ein Passwort vergeben, damit Virenscanner nicht in das Archiv gucken können. Die können das nämlich nur, wenn man ihnen das Kennwort für ein geschütztes Archiv mitteilt. Derzeit stufen auf Virustotal lediglich zwei von 68 Scannern das Archiv als gefährlich ein.

Da Windows in der Standardeinstellung bekannte Dateiendungen (.exe) ausblendet, sieht es so aus, als handelt es sich um ein PDF-Dokument. Es ist aber immer noch um eine ausführbare Datei. Wer doppelt auf "Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf" klickt löst die Infektion aus. Auf die als PDF getarnte .exe-Datei schlagen momentan 39 Scanner auf Virustotal an.

Entschlüsselungstool für GandCrab noch aktuell?

Ende Oktober hat Bitdefender sein kostenloses Entschlüsselungstool für GandCrab-Opfer aktualisiert und mit der Version 5.0.3 kompatibel gemacht. Bitdefender zufolge kursieren derzeit zwei Subvarianten von GandCrab 5.0.4. Mit einer davon soll das Tool kompatibel sein. Opfer sollten es in jedem Fall ausprobieren.

GandCrab hängt schon länger als gefährlicher Dateianhang an gefakten Bewerbungsmails. Außerdem haben die Malware-Entwickler den Schädling als Software-Cracks getarnt. (des)