Grandcrab nutzt Sicherheitslücken im Flash Player und bei Windows

Keine Kommentare
 

Der Verschlüsselungstrojaner Grandcrab ist nicht neu, aktuell ist die Version 4.0 im Umlauf – wenn man es denn so nennen so will. Die Masche der Hacker ist dieselbe wie immer: Auf dem infizierten Rechner werden sämtliche Dateien verschlüsselt und es wird ein Lösegeld gefordert.


Trojanisches Pferd mit roter Schleife

Der Trojaner Grandcrab nutzt Sicherheitslücken die noch nicht durch ein Update geschlossen wurden. (psdesign1 / fotolia.com)

Im Gegenzug wird der erforderliche Schlüssel versprochen, um die Dateien wieder zu entschlüsseln. Und wie immer funktioniert die versprochene Entschlüsselung meistens nicht.

Grandcrab nutzt bekannte Sicherheitslücken

Die aktuelle Version von Grandcrab nutzt Sicherheitslücken in Windows und im Flash Player. Beide Lücken sind mittlerweile geschlossen. Aber selbstverständlich nur, wenn Sie alle aktuellen Sicherheitsupdates installiert haben. Bei Windows passiert das automatisch, sofern die automatische Update Funktion aktiviert ist. In der Standardkonfiguration ist dies der Fall, weswegen Sie auf der sicheren Seite sind, wenn Sie die Updates nicht ausdrücklich abgeschaltet haben. Das Flash-Problem ist damit aber nur teilweise gelöst. Die Sicherheitslücken in den Flash-Plugins des Internet Explorers und des Browsers Edge werden durch die Windows Updates ebenfalls geschlossen. Andere Plugins oder der Flash Player müssen separat upgedatet werden.

Ransomware tarnt sich oft als Bewerbung

Betroffen sind primär Unternehmen, da Grandcrab hauptsächlich als Anhang von Bewerbungsmails verbreitet wird. Dort verbirgt er sich meist in einem Zip-Archiv, das angeblich die Bewerbungsunterlagen enthält. Die Masche mit den Bewerbungen ist bei den Ransomware Erpressern besonders beliebt, weil hier die wichtigste und einfachste Schutzmaßnahme nicht funktioniert: Man kann einem Unternehmen schwerlich raten, keine Bewerbungen von unbekannten Absendern zu öffnen.

Was tun mit Bewerbungen mit Zip-Archiv?

Die meisten der bisher versandten Mails mit der neuen Variante von Grandcrab nutzen diese Absendernamen: Sofia Bachmann, Nadine Bachert, Caroline Schneider, Viktoria Hagen und Hannah Sommer. Wenn Sie mit Bewerbungen zu tun haben, sollten Sie auf diese Namen achten. Ansonsten sollten Sie Zip-Anhänge von Bewerbungen nur nach Rücksprache mit der IT-Abteilung öffnen.

Keine Scheu vor rabiaten Maßnahmen

Im Normalfall gilt selbstverständlich nach wie vor, dass ein Rechner ordnungsgemäß heruntergefahren und keinesfalls einfach ausgeschaltet werden soll. Das dient primär dazu, dass alle Prozesse planmäßig beendet werden und keine Daten verloren gehen. Nun hat aber niemand ein Interesse daran, Grandcrab seine Arbeit in Ruhe beenden zu lassen. Deswegen sollten Sie einfach den Stromstecker ziehen, wenn Sie den Verdacht haben, auf Ihrem Rechner könnte sich ein Verschlüsselungstrojaner eingenistet haben.

Welche Hinweise deuten auf Ransomware hin?

Wenn Ihr Rechner nach dem Öffnen eines Mailanhangs selbständig neu startet, sollten Sie diesen Neustart auf jeden Fall verhindern, indem Sie den Netzstecker ziehen. Ein weiteres Alarmsignal besteht darin, dass Sie plötzlich einen schwarzen Bildschirm sehen, auf dem so etwas steht wie „repairing files on….“. Das kann tatsächlich eine Reparatur beschädigter Files sein, aber es kann auch darauf hindeuten, dass Ransomware gerade Ihren Rechner verschlüsselt. Weil derartige Reparaturen eines defekten Filesystems selten sind, sollte Sie auch hier vom Schlimmsten ausgehen und den sofort den Stecker ziehen. Manchmal hilft auch der Zufall. Wenn Sie mehr oder weniger zufällig auf eine Datei mit dem Namen „your_files_are_encrypted“ stoßen, haben Sie den Schädling erkannt, bevor er aktiv wurde. Auch dann dürfen Sie den Rechner keinesfalls herunterfahren, was gewissermaßen des Startsignal für Grandcrab wäre. Stattdessen sollten Sie sich auch hier für einen harten Shutdown entscheiden.

Und danach?

Am Arbeitsplatz ist klar, was Sie nach dem Ziehen des Netzsteckers tun sollten. Sie informieren die IT-Abteilung und zusätzlich jemanden, der darüber entscheiden kann, ob die Polizei hinzugezogen werden soll. Zuhause sollten Sie das System einfach neu aufsetzen und sich ebenfalls vorher überlegen, ob Sie eine Anzeige erstatten möchten. Problematisch wird es dann, wenn Sie unbedingt ungesicherte Daten von dem befallenen Rechner retten möchten. Sofern die Verschlüsselung noch nicht erfolgt ist, sollten Sie sich an einen Spezialisten wenden, der die Daten von der Platte retten kann. Keinesfalls sollten Sie den Rechner aber vorher neu starten.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen