Fake-Bewerbung von "Eva Richter" hat Erpressungstrojaner Ordinypt im Gepäck
Vorsicht: Derzeit sind wieder gefälschte Bewerbungen mit gefährlichem Dateianhang in Umlauf. Wer darauf reinfällt, steht vor einem digitalen Scherbenhaufen.
Wer dieser Tage eine Bewerbungsmail bekommt, sollte ganz genau hinschauen: Zurzeit macht eine Fake-Bewerbung mit dem Betreff "Bewerbung via Arbeitsagentur – Eva Richter" die Runde. Öffnet man die Datei im angehängten Zip-Archiv, landet direkt der Windows-Erpressungstrojaner Ordinypt auf dem Computer.
Der Schädling fordert von Opfern Lösegeld, damit diese wieder Zugriff auf ihre Dateien bekommen. Der IT-News-Website Bleepingcomputer.com zufolge verschlüsselt Ordinypt Dateien aber nicht, sondern überschriebt diese mit Zufallsdaten, sodass sie unwiederbringlich verloren sind. Das Lösegeld in Höhe von rund 1300 Euro sollte man also auf keinen Fall zahlen.
Hier hilft nur ein Backup, aus dem man unversehrte Daten wieder zurückspielen kann. Backups sind eine obligatorische Sicherheitsmaßnahme, die jeder regelmäßig ausführen sollte. Mehrere c't-Artikel zeigen, dass das überhaupt nicht schwer ist und auch nicht viel Zeit kostet.
Gefährlicher Anhang
Die Masche mit gefakten Bewerbungen Trojaner auf Computer zu bringen ist alt, funktioniert aber offensichtlich immer noch. Der Text der Mail ist in fehlerfreiem Deutsch. Im Anhang befindet sich neben einem Bild der vermeintlichen Bewerberin noch ein Zip-Archiv, in dem sich die Bewerbung und der Lebenslauf befinden sollen.
Wer es entpackt, findet eine vermeintliche PDF-Datei vor. In Wirklichkeit handelt es sich dabei aber um eine ausführbare .exe-Datei. Standardmäßig blendet Windows aber bekannte Dateitypen aus und aus "Eva Richter Bewerbung und Lebenslauf.pdf.exe" wird "Eva Richter Bewerbung und Lebenslauf.pdf". Wer darauf reinfällt und doppelt klickt, installiert direkt die Wiper-Malware die dann zügig Dateien zerstört.
Im Anschluss löscht Ordinypt noch die Schattenkopien von Windows. Das soll Bleepingcomputer zufolge aber nicht immer funktionieren. So könnten Opfer gegebenenfalls darüber wieder auf ältere und somit unversehrte Versionen ihrer Dateien zugreifen. Der Trojaner soll zudem die Recovery-Umgebung von Windows 10 deaktivieren. (des)