Makro-Angriff aus Russland? (Software)
Derzeit werden zahlreiche Firmen und Einrichtungen (selbst Krankenhäuser) über infizierte Microsoft-Office-Dateien angegriffen.
Bei Ausführung des in den Microsoft-Office-Dateien enthaltenen Schadcodes werden auf den befallenen PCs der Microsoft-Windows-Anwenderinnen und -Anwender ausführbare Programme installiert, welche derzeit vor allem Benutzerdaten verschlüsseln und Lösegeldforderungen stellen.
Öffnen Sie keine unangekündigten Mailanhänge
Mailanhänge, die nicht mit der Absenderin oder dem Absender vereinbart wurden, sollten gelöscht und nicht geöffnet werden.
Versenden Sie keine Anhänge in Microsoft-Office-Formaten
Selbst Microsoft Office kann inzwischen PDF-Dateien erzeugen. Nutzen Sie diese Sicherheit!
Sichern Sie Ihre Daten mehrfach
Wenn Sie weder auf Microsoft Windows noch auf Microsoft Office verzichten möchten, achten Sie bitte darauf, regelmäßig Ihre Daten auf mehreren nicht ständig an den gefährdeten PC angeschlossenen Laufwerken oder Netzwerkspeichern zu sichern.
Dateien auf während des Befalls angeschlossenen USB-Festplatten, Speichersticks und Netzwerklaufwerken sind genauso gefährdet wie die Daten auf Ihrer Festplatte.
Virenscanner sind kein wirksamer Schutz
Die Datei „copier@fh-bochum.de_20160216_084903.xls“, die ich vor ein paar Minuten erhalten habe, wurde gerade einmal von drei der 54 bei Virustotal.com eingesetzten Virenscanner als schädlich erkannt.
Schaut man sich die Makros einmal an, so entdeckt man, dass dort eine http-Verbindung zur Website test.blago.md aufgebaut wird. Meine Vermutung ist, dass von der Website weiterer Code nachgeladen wird. Auffällig ist, dass schon wieder zahlreiche Spuren nach Russland führen. Die Domain blago.de ist auf eine Person zugelassen, die eine russische Mailadresse verwendet. Auch die Namen der Tabellenblätter und Dokumentenobjekte (Лист1, Лист2, Лист3, Этакнига) sind russisch. Die Standardschriftart der Tabellen ist Arial Cyr.
--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums
Bücher:
CAD mit BricsCAD
Bauinformatik mit Python
gesamter Thread:
- Makro-Angriff aus Russland? -
Martin Vogel,
16.02.2016, 13:40
- Auch am zweiten Tag erkennen zwei von drei Virenscannern den Schädling nicht - Martin Vogel, 17.02.2016, 10:05