Telefon
Aline Wacke
Kundendienst
Aline Wacke - DATA REVERSE
Analyse
Cyberangriff mit Ransomware

Fatale Bewerbung: Trojaner GandCrab V4 getarnt in Bewerbermails mit Anhang

Angriffe durch den Erpressungstrojaner GandCrab auf Einzelpersonen oder Unternehmen sind in Deutschland heute keine Seltenheit. Die Ransomware ist z.B. in Bewerbungs-Anhängen versteckt und bringt Unternehmen zum Stillstand. Mitarbeiter und die Unternemend IT-Security sollten insbesondere bei Online-Anzeigen und E-Mail-Anhängen vorsichtig sein! Hier das wichtigste im Überblick.

Jetzt Analyse anfragen
Google
Sehr gut 4,70 aus 358 Kundenmeinungen Google Reviews
Siegel TüV Saarland
"Die Zusammenarbeit war sehr gut. 100% der Daten konnten wiederhergestellt werden."
Jahn Osterloh, Rostocker Freizeitzentrum e.V.
7. Januar 2019 • News

Was ist GandCrab Ransomware? Wer steckt dahinter?

Das Schadprogramm GandCrab (Ransomware) ist seit Januar 2018 bekannt und dafür bekannt, dass es sich auf Computern einschleust und dann die Daten auf dem Computer verschlüsselt, um den Benutzer gegen Lösegeld zu erpressen. Im Gegenzug verspricht GandCrab, die Daten wieder freizugeben. Seit 2018 wurden mehrere GandCrab Versionen in Umlauf gebracht. Eine besonders gefürchtete davon ist GandCrab V4, denn sie verbreitete sich seit 2019 schnell und war im Stande sich gegen eine Reihe von Sicherheitsbarrieren durchzusetzen.

Einigen Hinweisen zufolge wurde GandCrab von einer Gruppe von Cyberkriminellen entwickelt, die sich als „GandCrab-Crew“ bezeichnen. Sie koordinieren ihre Aktivitäten über verschiedene Online-Plattformen, z.B. Darkweb-Foren, und verbreiten bösartige Anhänge via E-Mails, gefälschte Online-Anzeigen oder durch Schwachstellen älterer Windows Versionen.

Wie infiziert der GandCrab Erpressungstrojaner den Computer?

Durch die Cybersicherheitsforschung sind mehrere Verbreitungswege des GandCrab Ransomware Erpressungstrojaners bekannt.

  • Spam-E-Mail-Kampagnen: Die bekannteste Methode ist die Verbreitung der Malware über Spam-E-Mail-Kampagnen von Absendern mit unterschiedlichen Namen. Die E-Mails sind getarnt, zum Beispiel als Rechnungen, Einkaufsbelege oder Bewerbungen und beinhalten zumeist einen PDF-Anhang mit weiteren Details. Im E-Mail Text ist dagegen nur davon die Rede, dass ein „DOC angehängt“ wurde. Das PDF enthält dann die Ransomware und verschlüsselt die Dateien.
  • Exploit-Kits: Ein weiterer Verbreitungsweg geschieht über Exploit-Kits, wie das Magnitude Exploit Kit. Diese Tools nutzen Schwachstellen in Software aus, um die Ransomeware auf Computern zu installieren. Sie werden bei Angriffen auf Web-Browser, z.B. durch gefälschte Online-Werbeanzeigen, oder Betriebssysteme eingesetzt und verschlüsseln die Daten mit der Dateierweiterung „.CRAB“.
  • Ransomware-as-a-Service (RaaS): Schließlich wird GandCrab auch als Ransomware-as-a-Service (RaaS) in russischen Untergrund-Hacking-Foren als Partnerprogramm angeboten. Angeblich gäbe es um die 100 Partner, welche eine hohe Gewinnbeteiligung zwischen 60 und 70 % der Einnahmen erhielten. Wenn zunächst der Hauptanteil der infizierten Computer sich entweder in den USA oder in Großbritannien befindeten, unterstützten neuere Versionen der Ransomware zusätzliche Sprachen, wie Französisch, Deutsch, Italienisch oder Japanisch.

Achtung: GandCrab V4 Trojaner getarnt im Anhang von Bewerber E-Mails

Seit Januar 2019 kursieren zahlreiche Spam-Emails von einer vermeintlichen Bewerberin inklusive Foto und ZIP Datei im Anhang in den Postfächern vieler Internetnutzer. Im Betreff der E-Mail steht „Bewerbung von Hannah Sommer“. Die Namen variieren und auch die dazugehörigen Fotos der Bewerber. Es handelt sich jedoch keinesfalls um eine Bewerbung, sondern um den gefährlichen Crypto-Trojaner GandCrab V4.

Gefährdet sind hier vor allem Nutzer älterer Windows Versionen, da sich im Anhang ein VBS Downloader bedindet, der die Ransomware GandCrab Version 4.x auf dem PC installiert. Nach der Installation werden sämtliche, zugängliche Daten durch die Ransomware verschlüsselt. Die Dateien erhalten danach die Endung „.krab“. GandCrab V4 fordert dann den Benutzer zu einer Geldzahlung auf, um die Daten zurückzuerhalten.

GandCrab Trojaner in Bewerbermail mit Anhang

Beispiel: Gefahr von infiziertem E-Mail-Anhäng durch GandCrab Ransomware

Vermeintlich unauffällig sieht diese Email mit Ihren Anhängen aus. Schauen Sie dennoch genau hin und lassen Sie Anhänge durch Sicherheitsprogramme prüfen, bevor Sie diese öffnen bzw. herunterladen.

Daten entschlüsseln Ransomware GandCrap_4_Bewerber-Email DATA REVERSE Datenrettung

Besteht aktuell noch Gefahr durch den GandCrab Trojaner?

Wenn 2019 einige Sicherheitsforscher auf Twitter berichten, dass die Entwickler von GandCrab im Hacker-Forum Exploit.it für Juni 2019 das Ende der Ransomware bekannt gaben, gibt es dennoch keine Garantie, dass sie jemals vollständig eingestellt wurde. Andere Quellen berichten von neuen GandCrab Versionen (GandCrab v5, v5.0.1, v5.0.2 sowie v5.0.4) und anhaltenden GandCrab Angriffen bis November 2022. Es bleibt demnach auch im Jahr 2022 zu bezweifeln, ob GandCrab tatsächlich jemals eingestellt wurde oder zukünftig eingestellt wird.

GandCrab Ransomware bleibt also eine reale Bedrohung für Internetnutzer und Unternehmen. Leider bietet kein System 100%ige Sicherheit vor einem Cyber-thread. Den bestmöglichen Schutz vor Ransomware gibt es jedoch nur mit regelmäßigen Backups, einem vorsichtigen Bewusstsein bei Spam-E-Mails und Werbeanzeigen sowie aktueller Sicherheitssoftware auf dem Computer.

Wie kann ich mich vor einem Angriff durch GandCrab Ransomware schützen?

DATA REVERSE® hat Ihnen eine Reihe von Maßnahmen zur Sicherheit vor Befall mit Erpressungstrojanern zusammengestellt, welche Sie ergreifen können, um sich vor GandCrab Ransomware zu schützen. Dazu gehören unter anderem:

  • Führen Sie Updates Ihrer Sicherheitssoftware umgehend durch, um Sicherheitslücken zu schließen (Windows, Firewall, Virenschutz)
  • Öffnen Sie keine Anhänge oder Links von E-Mails von unbekannten oder vermeintlich vertrauenswürdigen Absenden (Regierungsbehörden, Großunternehmen, o.Ä.)
  • Nutzen Sie vertrauenswürdige Sicherheitssoftware, um den Computer zu schützen
  • Machen Sie regelmäßig Sicherungskopien Ihrer wichtigsten Daten, um im Ernstfall auf das Backup zurückgreifen zu können

Was tun bei einem Befall durch den GandCrab Erpressungstrojaner?

Führen Sie die folgenden Maßnahmen möglichst umgehend durch:

  • Internetverbindung trennen, um die Verschlüsselung anderer Geräte zu verhindern
  • Externe Festplatten entfernen, um deren Infizierung zu unterbinden
  • Netzwerkzugänge deaktivieren, also Netzwerkkabel abziehen
  • IT Verantwortlichen benachrichtigen, damit dieser Maßnahmen ergreifen kann
  • Andere Mitarbeiter vor der Gefahr warnen, um den Schadensumfang zu begrenzen
  • Datenspezialist kontaktieren und Datenzustand professionell prüfen lassen

Achtung bei Netzwerkspeichern: Besonders kritisch ist ein GandCrab Angriff auf Netzwerkspeicher, da hier alle Daten im Netzwerk betroffen und verschlüsselt werden können. Entfernen Sie also sofort das Netzwerkkabel Ihres infizierten Computers, um andere Systeme zu schützen!

Datenrettung nach Ransomware-Angriff durch GandCrab

Ist eine GranCrab Entschlüsselung der Daten durch DATA REVERSE® möglich?

Dank unserer langjährigen Erfahrung der Datenrettung, IT-Forensik ist DATA REVERSE® häufig Ansprechpartner zur professionellen Daten-Entschlüsselung durch zahlreise Erpressungstrojaner (GandCrab, Locky, Tesla-Crypt, usw.). Unseren Kryptografie-Spezialisten ist es in vielen Fällen gelungen, eine Entschlüsselung von GandCrab Ransomware vorzunehmen. Allerdings gilt zu beachten, dass die Anforderungen und Kosten einer Entschlüsselung die einer herkömmlichen Datenrettung weit übertreffen, denn der Arbeitsaufwand und Anspruch an notwendiger Fachexpertise ist sehr hoch. Grundsätzlich können wir nicht garantieren, dass eine Entschlüsselung in jedem Fall gewährleistet werden kann.

Wie lange eine Datenwiederherstellung nach Entschlüsselung durch GranCrab Ransomware dauert, liegt deutlich über dem Zeitraum einer regulären Datenrettung. Sie sollten hier mit einer Dauer von 2-4 Wochen rechnen sowie mit aufwandsbezogenen Kosten von mehreren Tausen Euro. Da diese jedoch von den Details Ihres individuellen Cyberangriffs abhängen, empfehlen wir Ihnen die kostenfreie Beratung mit unserem TÜV-zertifizierten Kundenservice via 0800 - 07 388 36 .

Datenrettung geht nicht? Wir retten dort, wo andere aufgeben!
Google
Sehr gut 4,70 aus 358 Kundenmeinungen Google Reviews
Siegel TüV Saarland

Fragen und Antworten zum Angriff durch GandCrab V4 Trojaner

Wie kann ich einen GandCrab Virus von meinem Comuter entfernen?

DATA REVERSE® rät Ihnen, sich niemals an die Regeln der Cyberkriminellen zu richten und auf das geforderte Lösegeld zu reagieren. Befolgen Sie nach Kenntnisnahme von der Infizierung unsere Erste Hilfe Maßnahmen und überprüfen Sie, ob aktuelle Backups Ihrer Daten vorliegen. Ist dies nicht der Fall, kontaktieren Sie einen professionellen Datenretter zur Wiederherstellung der entschlüsselten Daten, denn GandCrab-Ransomware kann mit professionellen Entfernungstools entfernt werden. Von einer eigenen Reparatur oder Wiederherstellung raten wir insbesondere dann ab, wenn Sie keine Erfahrung damit haben. Denn die Ransomware-Schadsoftware kann getarnt weiter aktiv sein und bewirken, dass Ihr Rettungsversuch zu irreparablen Systemschäden führt.

Wie erkenne ich einen Cyberangriff durch GranCrab?

Wenn sich nach dem Öffnen eines E-Mail-Anhangs oder Klicken auf eine Online-Werbung eine Textdatei mit Lösegeldforderung öffnet, können Sie von einer beginnenden Infizierung mit Ransomware ausgehen. Wenn es sich um die neue GranCrab Version GandCrab v5.0.1 handelt, wird Ihnen in einem Textformat [random_extension]-Decrypt.txt e der folgende Text eingeblendet:

“ —= GANDCRAB V5.0.1 =—
Beachtung!
Alle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige Dateien sind verschlüsselt und haben die Erweiterung:
Die einzige Methode zur Wiederherstellung von Dateien besteht darin, einen eindeutigen privaten Schlüssel zu erwerben. Nur wir können Ihnen diesen Schlüssel geben und nur wir können Ihre Dateien wiederherstellen.
…“

Im Folgenden werden Sie u.a. zum Herunterladen eines TOR-Netzwerks aufgefordert, um den Schlüssel zu Ihren Daten zu erhalten. Dies geschiehe jedoch nur gegen ein Lösegeld. Da allerdings unklar ist, ob die Cyberkriminellen hinter GandCrab jemals Ihre Daten wieder freigeben, raten wir in jedem Fall von einer Lösegeldzahlung ab!

Kann ich mit einem kostenlosen Gandcrab Entschlüsselungs-Tool Daten wiederherstellen?

Es gibt eine Reihe von kostenlosen Recovery-Tools im Internet, welche bei Befall mit Verschlüsselungstrojanern wie GranCrab unzugängliche Daten wiederherstellen können. Allerdings sollten Sie beachten, dass der Trojaner noch während Sie weiter auf Ihr Gerät zugreifen und Software aus dem Internet herunterladen, weiter aktiv sein und auf Prozesse einwirken kann. Wenn Sie mit Entschlüsselungen keine Erfahrung haben und Ihre Daten wichtig sind, raten wir Ihnen von einem eigenen Eingreifen dringend ab.

Was ist der Unterschied zwischen Malware und Ransomware?

Malware und Ransomware sind beides Schadsoftware, welche von Cyberkriminellen dazu genutzt werden in Computersystem einzudringen und sie zu schädigen. Währenddessen Malware jedoch dazu verwendet wird, das System zu beschädigen (Datendiebstahl, Computer wird langsamer), ohne dass es der Benztzer merkt, wird Ransomware verwendet, um die Daten des Nutzers zu verschlüsseln und gegen ihre Freigabe Lösegeld zu fordern.

Über den Autor: Johannes Hoffmeister
Johannes Hoffmeister

Johannes Hoffmeister ist schon immer Nerd und begeistert von Technik. Angefangen hat alles im Alter von 8 Jahren in der Freizeitgruppe Elektronik. Das Demontieren und Herausfinden der eingesetzten Technologie war und ist eine der größten Herausforderungen. Im Reverse Engineering des 21. Jahrhunderts angekommen ist ihm kaum ein Datenträger fremd noch dessen Technologie und die jeweils erforderliche Strategie zur Datenrettung.

Niox
Google
Sehr gut 4,70 aus 358 Kundenmeinungen Google Reviews

    Privat
    Firma

    Siegel TüV Saarland
    Weil gut uns nicht genug ist!
    Google
    Sehr gut 4,70 aus 358 Kundenmeinungen Google Reviews
    Abspielen
    Sehr gut
    Christin Bader
    Friseurmeisterin
    System
    Externe Festplatte
    System
    Schaden
    Hardwareschaden nach Herunterfallen (Sturzschaden)
    Schaden
    Wiederhergestellte Daten
    2.000 GB
    Wiederhergestellt

    Alles hat wieder funktioniert und die Daten waren zurück von meiner externen Festplatte. Ich bin super glücklich!

    Jetzt Analyse anfragen