{"id":18666,"date":"2019-03-08T09:16:40","date_gmt":"2019-03-08T07:16:40","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18666"},"modified":"2019-11-22T12:09:35","modified_gmt":"2019-11-22T10:09:35","slug":"gandcrab-ransomware-is-back","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/gandcrab-ransomware-is-back\/18666\/","title":{"rendered":"Die Ransomware GandCrab ist zur\u00fcck und zeigt sich von ihrer romantischen Seite"},"content":{"rendered":"<p>\u201eWir haben Ihre Webcam gehijackt, Sie beim Pornoschauen gefilmt, Ihre Daten verschl\u00fcsselt und erwarten nun eine satte L\u00f6segeldzahlung.\u201c Eventuell erinnern Sie sich daran, dass eine \u00e4hnliche <a href=\"https:\/\/www.kaspersky.de\/blog\/extortion-spam\/18287\/\" target=\"_blank\" rel=\"noopener\">Erpressungsmethode<\/a> im vergangenen Jahr ph\u00e4nomenale Erfolge verzeichnen konnte. Nun, es scheint ganz so, als w\u00fcrden die Behauptungen, <em>die Erpressungsmasche hinter der\u00a0<strong><a href=\"https:\/\/www.kaspersky.de\/blog\/ransomware-for-dummies\/9367\/\" target=\"_blank\" rel=\"noopener\">Ransomware<\/a><\/strong>\u00a0w\u00fcrde langsam aber sicher erl\u00f6schen<\/em>, nicht ganz der Wahrheit entsprechen.<\/p>\n<p>Die <strong>Ransomware GandCrab <\/strong>ist zur\u00fcck und aktiver denn je. Um ihren hart erarbeiteten <a href=\"https:\/\/www.zdnet.com\/article\/bitdefender-releases-third-gandcrab-ransomware-free-decrypter-in-the-past-year\/\" target=\"_blank\" rel=\"noopener nofollow\">Marktanteil<\/a> nicht gleich wieder zu verlieren \u2013 wir sprechen hier von rund 40 % des gesamten Ransomware-Marktes \u2013 launchen ihre Entwickler kontinuierlich neue Versionen der Ransomware. Und auch die Angreifer, die sich GandCrab zunutze machen und verbreiten, halten sich konstant auch auf dem Laufenden und entscheiden sich f\u00fcr abwechslungsreiche, kreative und manchmal sogar romantische Taktiken, um ihre Opfer mit der Ransomware zu infizieren.<\/p>\n<h2><strong>Ransomware f\u00fcr hoffnungslose Romantiker<\/strong><\/h2>\n<p>Betreffzeilen, die mit sch\u00f6nen Liebeserkl\u00e4rungen daherkommen, m\u00f6gen besonders ansprechend klingen, aber \u201eMein pers\u00f6nlicher Liebesbrief an Dich\u201c, \u201eIch habe mich in Dich verliebt\u201c oder \u201eMeine Gef\u00fchle f\u00fcr Dich\u201c k\u00fcndigen eine m\u00f6gliche Katastrophe an. Und zu besonderen Ereignissen wie zum Beispiel Valentinstag, Weihnachten, Neujahr, Geburtstagen oder sogar an traurigen Montagen auf der Arbeit, kommt vielen Nutzern eine solche Nachricht nicht einmal Spanisch vor. Doch wie jede andere E-Mail, sollten Sie sich auch hier ganz genau \u00fcberlegen, ob Sie die Nachricht tats\u00e4chlich \u00f6ffnen m\u00f6chten.<\/p>\n<p>Die gebr\u00e4uchlichste Variante <strong>b\u00f6sartiger E-Mails<\/strong>, die heutzutage die Runde machen, besteht aus einem romantischen Satz in der Betreffzeile, einem Herzsymbol im Textk\u00f6rper und einer angeh\u00e4ngten ZIP-Datei, die \u00fcblicherweise den Namen <em>Love_You<\/em> tr\u00e4gt, gefolgt von mehreren Ziffern. Wenn Sie die darin enthaltene JavaScript-Datei extrahieren und ausf\u00fchren, laden Sie automatisch die Ransomware GandCrab herunter.<\/p>\n<p>Dann erscheint eine nette Nachricht, die darauf hinweist, dass alle <strong>Daten auf Ihrem Computer verschl\u00fcsselt<\/strong> wurden und lediglich durch eine L\u00f6segeldzahlung (h\u00f6chstwahrscheinlich in Bitcoin) wieder entschl\u00fcsselt werden k\u00f6nnen. Wenn Sie zu den Personen geh\u00f6ren, die nicht besonders viel mit Kryptow\u00e4hrungen am Hut haben, stellen die Erpresser Ihnen freundlicherweise sogar ein Live-Chat-Fenster zur Verf\u00fcgung, um Ihnen zu zeigen, wie Sie den erforderlichen Betrag kaufen und somit das L\u00f6segeld zahlen k\u00f6nnen.<\/p>\n<h3><strong>Ransomware f\u00fcr Unternehmen<\/strong><\/h3>\n<p>Im Jahr 2017 wurde ein Patch ver\u00f6ffentlicht, der eine <strong>Schwachstelle<\/strong> in einem Tool zur Synchronisierung von Daten zwischen zwei Managementsystemen f\u00fcr IT-Unternehmen stopfte. Aber wie so oft haben nat\u00fcrlich nicht alle Betroffenen diesen Patch installiert; und wer h\u00e4tte es gedacht, heute, im Jahr 2019, hat GandCrab <a href=\"https:\/\/blog.huntresslabs.com\/cve-2017-18362-arbitrary-sql-injection-in-mangeditsync-integration-ba142ff24f4d\" target=\"_blank\" rel=\"noopener nofollow\">diejenigen im Visier, die den Patch damals nicht installiert haben<\/a>.<\/p>\n<p>Die Sicherheitsl\u00fccke erm\u00f6glicht es den \u00dcbelt\u00e4tern, neue Administratorkonten zu erstellen und von dort aus Befehle zur <strong>Installation der Ransomware<\/strong> auf den verwalteten Endpunkten auszuf\u00fchren. Mit anderen Worten: sie verschl\u00fcsseln die Ger\u00e4te der anvisierten Unternehmenskunden und fordern dann eine L\u00f6segeldzahlung.<\/p>\n<h3><strong>Ransomware f\u00fcr verantwortungsvolle Panikmacher<\/strong><strong> (wir alle)<\/strong><\/h3>\n<p>Hand aufs Herz: Wie viele von uns w\u00fcrden einen E-Mail-Anhang mit einem aktualisierten Plan des Notausgangs unseres B\u00fcrogeb\u00e4udes \u00f6ffnen? Auch wenn diese E-Mail von einer v\u00f6llig unbekannten Adresse stammt! H\u00f6chstwahrscheinlich wir alle. Denn im Endeffekt k\u00f6nnen sich nur die wenigsten an die Namen der Sicherheitsmanager erinnern.<\/p>\n<p>Die Angreifer haben damit begonnen diese <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/beware-of-exit-map-spam-pushing-gandcrab-v51-ransomware\/\" target=\"_blank\" rel=\"noopener nofollow\">Gelegenheit auszunutzen<\/a> und schicken b\u00f6sartige E-Mails mit einer Word-Datei im Anhang. Diejenigen, die das Dokument \u00f6ffnen, bekommen lediglich den Titel \u201eNotausgangsplan\u201c und die Schaltfl\u00e4che \u201eInhalt aktivieren\u201c zu Gesicht. Mit einem Klick auf den Button wird die Ransomware GandCrab auf Ihrem Rechner installiert.<\/p>\n<h3><strong>Ransomware f\u00fcr Zahlungspflichtige<\/strong><\/h3>\n<p>Bei einer anderen Taktik wird eine E-Mail verwendet, die wie eine Rechnung oder eine Zahlungsbest\u00e4tigung aussieht, die auf WeTransfer zum Download bereitsteht. Der Link f\u00fchrt zu einer ZIP- oder manchmal RAR-Datei mit einem Kennwort zum \u00d6ffnen der Datei. Jetzt raten Sie mal, was sich in der Datei verbirgt?<\/p>\n<h3><strong>Ransomware f\u00fcr Italiener<\/strong><\/h3>\n<p>Eine weitere Variante macht sich eine angebliche Zahlungsmitteilung in Form einer angeh\u00e4ngten Excel-Datei zunutze. Wenn Sie versuchen, die Datei zu \u00f6ffnen, erscheint ein Dateidialog mit der Mitteilung, dass die Datei nicht online angezeigt werden kann, und animiert Sie dazu, auf <em>Bearbeitung<\/em> und <em>Inhalt aktivieren<\/em> zu klicken, um den Inhalt anzuzeigen.<\/p>\n<p>Kurioserweise hat dieser <strong>Online-Angriff<\/strong> bislang <a href=\"https:\/\/www.bromium.com\/gandcrab-ransomware-code-hiding-in-image\/\" target=\"_blank\" rel=\"noopener nofollow\">ausschlie\u00dflich Italiener im Visier<\/a>. Mit einem Klick auf die erforderlichen Schaltfl\u00e4chen wird ein Skript aktiviert, das basierend auf der Verwaltungssprache des Betriebssystems \u00fcberpr\u00fcft, ob sich der anvisierte Rechner in Italien befindet.<\/p>\n<p>Wenn dies nicht der Fall ist, hat sich die Sache so gut wie erledigt. Befindet sich der anvisierte Rechner jedoch in Italien, bekommen die Opfer den Humor der Angreifer in Form eines Super-Mario-Bildes zu sp\u00fcren.<\/p>\n<div id=\"attachment_18667\" style=\"width: 213px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-18667\" class=\"wp-image-18667 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2019\/03\/06103005\/mario_b.png\" alt=\"\" width=\"203\" height=\"185\"><p id=\"caption-attachment-18667\" class=\"wp-caption-text\">Dieses Bild von Mario enth\u00e4lt Schadcode, der Malware herunterl\u00e4dt<\/p><\/div>\n<p>Das Bild, das mit einem Klick heruntergeladen wird, enth\u00e4lt <strong>sch\u00e4dlichen PowerShell-Code<\/strong> und l\u00e4dt Malware herunter. Moment sind sich Forscher noch nicht ganz einig dar\u00fcber, um welche Malware es sich hierbei genau handelt: <a href=\"https:\/\/www.bromium.com\/gandcrab-ransomware-code-hiding-in-image\/\" target=\"_blank\" rel=\"noopener nofollow\">GandCrab<\/a>, die Ihre Daten verschl\u00fcsselt, oder <a href=\"https:\/\/blog.yoroi.company\/warning\/campagna-di-attacco-fattura-corretta\/\" target=\"_blank\" rel=\"noopener nofollow\">Ursnif<\/a>, die Ihre Bank- und Kontodaten <a href=\"https:\/\/www.kaspersky.de\/blog\/mobile-banking-trojans-faq\/8960\/\" target=\"_blank\" rel=\"noopener\">entwendet<\/a>.<\/p>\n<h3><strong>Sagen Sie der Ransomware den Kampf an<\/strong><\/h3>\n<p>GandCrab wird von unz\u00e4hligen Betr\u00fcgern verbreitet \u2013 die <em>Ransomware-as-a-Service<\/em> wurde von einem Team Krimineller entwickelt, die die Malware anderen \u00dcbelt\u00e4tern zur Verf\u00fcgung stellen, die dann versuchen, so viele Rechner wie m\u00f6glich zu verschl\u00fcsseln. Trotz der unterschiedlichen Infektionsmethoden k\u00f6nnen Sie sich mit folgenden <strong>Cybersicherheitstipps<\/strong> Sie vor den gierigen Krallen der Ransomware GandCrab sch\u00fctzen:<\/p>\n<p>\u2013 Wenn Sie eine unerwartete E-Mail erhalten, sollten Sie zun\u00e4chst sicherstellen, dass die Nachricht authentisch ist, bevor Sie den Anhang \u00f6ffnen. Mit einem simplen Anruf beim Absender der Mail k\u00f6nnen Sie verheerende Folgesch\u00e4den vermeiden.<\/p>\n<p>\u2013 Machen Sie regelm\u00e4\u00dfige Back-ups Ihrer wichtigsten Daten, damit diese im Notfall wiederhergestellt werden k\u00f6nnen.<\/p>\n<p>\u2013 Verwenden Sie eine zuverl\u00e4ssige S<a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Sicherheits-Suite<\/a>, damit Ransomware auf Ihrem Rechner keine Chance hat.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-ransomware\">\n<p>Das sollte ausreichen, um einer pers\u00f6nlichen Begegnung mit <strong>GandCrab<\/strong> aus dem Weg zu gehen. Sollten Sie der Ransomware bereits zum Opfer gefallen sein, k\u00f6nnen Sie den m\u00f6glichen Schaden mit ein wenig Gl\u00fcck trotzdem minimieren:<\/p>\n<p>\u2013 M\u00f6glicherweise k\u00f6nnen Sie Ihre Dateien v\u00f6llig kostenlos wiederherstellen. Werfen Sie einen Blick auf das Entschl\u00fcsselungs-Tool auf der Website des <a href=\"https:\/\/www.nomoreransom.org\/en\/decryption-tools.html\" target=\"_blank\" rel=\"noopener nofollow\">Projekts <em>No More Ransom<\/em><\/a>. Einige Versionen der GandCrab-Ransomware weisen Fehler auf, die eine Entschl\u00fcsselung erm\u00f6glichen. Leider k\u00f6nnen nicht alle Versionen entschl\u00fcsselt werden.<\/p>\n<p>\u2013 Verwenden Sie eine <a href=\"https:\/\/www.kaspersky.de\/internet-security\" target=\"_blank\" rel=\"noopener\">zuverl\u00e4ssige AV-L\u00f6sung<\/a>, um die <strong>Ransomware von Ihrem Ger\u00e4t zu entfernen<\/strong>, bevor Sie das Entschl\u00fcsselungs-Tool herunterladen. Andernfalls kann die Malware Ihre Dateien erneut verschl\u00fcsseln.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Noch immer befinden sich 40% des Ransomware-Marktes im Besitz der Ransomware GandCrab. Neueste Verteilungsmethoden helfen der Malware dabei, sich von der Masse abzuheben.<\/p>\n","protected":false},"author":2508,"featured_media":18668,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[142,3229,535],"class_list":{"0":"post-18666","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-betrug","9":"tag-gandcrab","10":"tag-ransomware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/gandcrab-ransomware-is-back\/18666\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/gandcrab-ransomware-is-back\/15352\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/gandcrab-ransomware-is-back\/12916\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/gandcrab-ransomware-is-back\/17290\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/gandcrab-ransomware-is-back\/15445\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/gandcrab-ransomware-is-back\/14146\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/gandcrab-ransomware-is-back\/17959\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/gandcrab-ransomware-is-back\/16991\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/gandcrab-ransomware-is-back\/22502\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/gandcrab-ransomware-is-back\/5757\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/gandcrab-ransomware-is-back\/25854\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/gandcrab-ransomware-is-back\/11467\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/gandcrab-ransomware-is-back\/11547\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/gandcrab-ransomware-is-back\/10433\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/gandcrab-ransomware-is-back\/22722\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/gandcrab-ransomware-is-back\/23944\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/gandcrab-ransomware-is-back\/18181\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/gandcrab-ransomware-is-back\/22225\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/gandcrab-ransomware-is-back\/22158\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ransomware\/","name":"Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18666","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2508"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=18666"}],"version-history":[{"count":10,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18666\/revisions"}],"predecessor-version":[{"id":20892,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/18666\/revisions\/20892"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/18668"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=18666"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=18666"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=18666"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}