In diesen Tagen kursieren gefakete Bewerbungen vom angeblichen Absender „Peter Reif“ mit dem Betreff „Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif“ im Internet. Wenn man den Dateianhang öffnet, verschlüsselt eine Schadsoftware die Daten auf dem Rechner und verlangt Lösegeld für die Entschlüsselung.

Eine solche Email sollten Sie sofort löschen und die anhängende Datei auf keinen Fall öffnen. Der Absender der Mails kann auch anders heißen, unter anderem gab es auch schon Varianten mit „Peter Schnell“, „Caroline Schneider“ und „Viktoria Henschel“.

Bis zum Entpacken des Anhangs ist es noch ungefährlich

Der Empfang der Email und selbst das Entpacken des anhängenden Archivs löst nach jetzigem Kenntnisstand  die Infektion noch nicht aus.

Erst dann, wenn jemand das Archiv entpackt und danach die darin enthaltene Datei öffnet, holt er sich damit einen Windows-Erpressungstrojaner auf den Rechner, der die Dateien auf dem PC verschlüsselt und erst nach Zahlung von Lösegeld wieder freigeben will. Nach Angaben des Online-Analysedienstes Virustotal ist der Schädling die Ransomware GandCrab 5.0.4.

Wie eine Infektion abläuft

Die Emails sind in sauberem Deutsch verfasst und haben als Anhang ein passwortgschütztes RAR-Archiv, in dem die Datei „Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe“ steckt. Das zum Entpacken des Archivs nötige Passwort steht in der Nachricht selbst. So wollen die Kriminellenl verhindern, dass Virenschutzprogramme in den Anhang hineinschauen können.

Da Windows normalerweise bekannte Dateiendungen  wie .exe ausblendet, sieht die Datei aus dem Anhang so aus, als sei sie ein PDF-Dokument. In Wirklichkeit ist es aber immer noch eine ausführbare Datei. Wer dann auch noch einen Doppelklick auf „Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf“ macht, löst mit diesem Doppelklick die eigentliche Infektion mit Verschlüsselung der Dateien aus.

Entschlüsselungstools für GandCrab

Bitdefender hat noch im Oktober sein kostenloses Entschlüsselungstool für GandCrab-Opfer aktualisiert  und auch mit der Version 5.0.3 des Schädlings kompatibel gemacht. Laut Bitdefender gibt es inzwischen zwei Unterarten von GandCrab 5.0.4. Mit einer davon soll das Tool von Bitdefender funktionieren – wer schon in die Falle gelaufen ist, sollte das auf alle Fälle ausprobieren.