Makro-Angriff aus Russland? (Software)

Martin Vogel ⌂ @, Dortmund / Bochum, Dienstag, 16. Februar 2016, 13:40 (vor 828 Tagen)

Derzeit werden zahlreiche Firmen und Einrichtungen (selbst Krankenhäuser) über infizierte Microsoft-Office-Dateien angegriffen.

Bei Ausführung des in den Microsoft-Office-Dateien enthaltenen Schadcodes werden auf den befallenen PCs der Microsoft-Windows-Anwenderinnen und -Anwender ausführbare Programme installiert, welche derzeit vor allem Benutzerdaten verschlüsseln und Lösegeldforderungen stellen.

Öffnen Sie keine unangekündigten Mailanhänge
Mailanhänge, die nicht mit der Absenderin oder dem Absender vereinbart wurden, sollten gelöscht und nicht geöffnet werden.

Versenden Sie keine Anhänge in Microsoft-Office-Formaten
Selbst Microsoft Office kann inzwischen PDF-Dateien erzeugen. Nutzen Sie diese Sicherheit!

Sichern Sie Ihre Daten mehrfach
Wenn Sie weder auf Microsoft Windows noch auf Microsoft Office verzichten möchten, achten Sie bitte darauf, regelmäßig Ihre Daten auf mehreren nicht ständig an den gefährdeten PC angeschlossenen Laufwerken oder Netzwerkspeichern zu sichern.
Dateien auf während des Befalls angeschlossenen USB-Festplatten, Speichersticks und Netzwerklaufwerken sind genauso gefährdet wie die Daten auf Ihrer Festplatte.

Virenscanner sind kein wirksamer Schutz
Die Datei „copier@fh-bochum.de_20160216_084903.xls“, die ich vor ein paar Minuten erhalten habe, wurde gerade einmal von drei der 54 bei Virustotal.com eingesetzten Virenscanner als schädlich erkannt.

[image]

Schaut man sich die Makros einmal an, so entdeckt man, dass dort eine http-Verbindung zur Website test.blago.md aufgebaut wird. Meine Vermutung ist, dass von der Website weiterer Code nachgeladen wird. Auffällig ist, dass schon wieder zahlreiche Spuren nach Russland führen. Die Domain blago.de ist auf eine Person zugelassen, die eine russische Mailadresse verwendet. Auch die Namen der Tabellenblätter und Dokumentenobjekte (Лист1, Лист2, Лист3, Этакнига) sind russisch. Die Standardschriftart der Tabellen ist Arial Cyr.

[image]

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Heute schon programmiert? Einführung in Python 3 (PDF)

Auch am zweiten Tag erkennen zwei von drei Virenscannern den Schädling nicht

Martin Vogel ⌂ @, Dortmund / Bochum, Mittwoch, 17. Februar 2016, 10:05 (vor 827 Tagen) @ Martin Vogel

Obwohl die gefährlichen Microsoft-Office-Dateien schon seit rund 24 Stunden verbreitet werden, erkennen nur 16 der 54 von Virustotal eingesetzten Scanner den Angriff. Wer Microsoft Office auf dem PC hat und seine Daten noch nicht auf mehreren unabhängigen Datenträgern gesichert hat, sollte es jetzt tun.

[image]

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Heute schon programmiert? Einführung in Python 3 (PDF)

RSS-Feed dieser Diskussion
powered by my little forum