Momentan ist eine E-Mail im Umlauf, die sich als Anfrage einer griechischen Firma ausgibt und im Anhang ein PDF-Dokument enthalten soll. Die E-Mail ist in englischer Sprache gehalten und scheint zunächst seriös, wenn auch sehr einfach gestaltet. Damit wirkt sie aber leider immer noch glaubwürdiger als viele legitime Firmen-E-Mails, die sich nicht einmal an rechtliche Vorgaben halten mögen.
I have been noticing a veritable deluge of visitors from South Korea spending lots of time figuring out this page. 🙂 Well, hello to you. The e-mail you probably got there is a virus, very probably a piece of ransomware which will encrypt your data if you unpack the gz attachment and run the program. Delete the mail and don’t open the attachment.
In diesem konkreten Fall gilt ein Mitarbeiter der Firma Hellenic Maritime als Absender. Die Firma besitzt eine Webseite, der Absender hat einen griechischen Vornamen als vorderen Teil der E-Mail Adresse und unterschreibt mit einem griechischen Nachnamen. Womöglich handelt es sich um ein echtes Firmenkonto, allerdings ist die Firma laut ihrer Webseite in Qingdao in China beheimatet.
Der Text der E-Mail:
Dear Sir,
We are in the process of procurement and we have sent you our Request for Quotation via ShipServ.
Attached please find additional data, as announced in our ShipServ enquiry. Some specific requirement have been spelled out in the attachment .You are advised to read all the instruction before submitting your quotation.
We look forward to receiving your quotation.
Best Regards,
Gkopakakis
Hellenic Maritime
=========================================
Notice:
(1) It is not SPAM/Junk Mail but only regular e-mail of shipping, marine & chartering business;
(2) If you are not interested in these biz areas and do not want to receive our mail again, please inform us;
(3) Please consider the environment before printing this e-mail.
Es mag durchaus möglich sein, dass sich der eine oder andere Empfänger in einer Firma durch diese E-Mail angesprochen fühlt. Im Anhang befindet sich eine Datei namens SHPSERV_ENQ_pdf.gz.
Update
Die heutige Variante dieser E-Mail vom gleichen Absender hat den Betreff „Remittance“ und einen etwas anderen Textinhalt:
As directed by charterers, this is to inform you that we have remitted the value of your hire invoice through our Bank.
Please find attached payment advice which includes invoice reference and TDS deductions if any.
Zunächst einmal würde die Dateiendung „gz“ auf Windows-Systemen, auf denen ein Packprogramm installiert ist, das mit dieser eher in der Unix- und Linux-Welt bekannten Endung für ZIP-Archive umgehen kann, standardmäßig nicht angezeigt werden. Man sieht also nur SHPSERV_ENQ_pdf – dies könnte man für eine PDF-Datei halten, obwohl dazu ein Punkt anstelle des letzten Unterstrichs nötig wäre. In anderen Varianten der E-Mail mag durchaus auch ein Punkt zum Einsatz kommen, aber das ändert nichts daran, dass es sich um ein ZIP-Archiv handelt.
Wenn bei Ihnen bei Dateien die Endung nicht angezeigt wird, sollten Sie die sinnlose und gefährliche Voreinstellung von Windows, bekannte Endungen auszublenden, schleunigst ändern. Wie das geht, lesen Sie in diesem Beitrag.
Das Archiv enthält eine Datei gleichen Namens ohne die gz-Endung. Stattdessen endet sie auf .exe, ist also eine unter Windows ausführbare Datei. Auch diese Endung würde vom System unterschlagen. Doppelklicken Sie nun diese Datei, öffnen Sie keinen PDF-Viewer, sondern Sie führen das Programm aus und infizieren so Ihr System.
Ich habe die Datei bei dem Google-Dienst virustotal.com hochgeladen und sie wurde dort bereits von 14 Virenscannern identifiziert: Es handelt sich wohl um den Erpressungstrojaner Bitlocker. Wenn Sie diesen ausführen würden, würde er Ihre persönlichen Dateien verschlüsseln und versuchen, von Ihnen ein Lösegeld in Bitcoin zu erpressen.
Aktuellen Nachrichten zufolge wurde bereits ein Drittel aller deutschen Unternehmen Opfer eines solchen Erpressungstrojaners. Die Infektion erfolgt vor allem über E-Mails wie die hier angeführte. Seien Sie also immer wachsam, vertrauen Sie keinen E-Mail-Anhängen. Testen Sie alle Anhänge über virustotal.com und mit Ihrem eigenen Virenscanner. Ändern Sie die unverantwortliche Voreinstellung von Windows, die Dateiendungen ausblendet, und informieren Sie sich über Dateiendungen und was sie bedeuten. Außerdem ist der beste Schutz vor einem Erpressungstrojaner ein aktuelles Backup aller Daten auf einem Datenträger, der nicht dauerhaft mit dem Computer verbunden ist.
War dieser Beitrag für Sie nützlich?
[thumbs-rating-buttons]