Selbstständige, Gewerbetreibende und Personalabteilungen werden aktuell mit einem Virus angegriffen. Dieser kommt in Form einer Bewerbung, die besonders trickreich ist und deshalb nicht erkannt wird. Wer den Anhang öffnet, installiert sich Schadsoftware. Wir erklären, woran Sie die E-Mail erkennen.
Erneut wird schädliche Software über eine Bewerbung verteilt. In der Vergangenheit haben wir über Bewerbungen mit Virus bereits berichtet. Jetzt macht eine neue E-Mail die Runde, die aufgrund ihrer Aufmachung besonders gefährlich ist. Wir möchten gleich vorab warnen:
Woran erkennen Sie die Bewerbung per E-Mail?
Die uns vorliegenden Bewerbungen stammen alle von dem gleichen Absender. Genannt ist ein Rolf Drescher, Wolfgang Meyerle oder Andreas Meier, der als Absender jedoch unterschiedliche E-Mail-Adressen verwendet. Besonders gefährlich ist, dass die Kriminellen den Inhalt der E-Mail ganz exakt auf das empfangende Unternehmen ausrichten. Im Text ist ein Berufsbild genannt, welches zum Unternehmen passt. Nicht auszuschließen ist, das die Stelle aktuell gerade zu besetzen und deshalb in öffentlichen Stellenmärkten ausgeschrieben ist. Deshalb wird der Nachricht oft vertraut. So lautet der Text der E-Mail:
Sehr geehrter Herr …,
hiermit bewerbe ich mich bei Ihnen für die die Stelle als Rollladen- und Sonnenschutzmechatroniker. Meine vollständigen Bewerbungsunterlagen können Sie dem Anhang entnehmen.
Ich freue mich auf Ihre Rückmeldung und stehe Ihnen bei Rückfragen jederzeit gerne zur Verfügung.
Mit freundlichen Grüßen
Rolf Drescher
Sehr geehrte Damen und Herren,
hiermit bewerbe ich mich bei Ihnen für die die Stelle als Berufserfahrener, zuverlässiger KFZ Mechaniker für …. Meine vollständigen Bewerbungsunterlagen können Sie dem Anhang entnehmen.
Ich freue mich auf Ihre Rückmeldung und stehe Ihnen bei Rückfragen jederzeit gerne zur Verfügung.
Mit freundlichem Gruß
Andreas Meier
Dear Sir or Madam,
As a qualified individual with international experience and strong motivation to work on your company, I am submitting my CV to be considered for any openings you may have.
These courses, as well as the experience of working abroad, have given me a valuable understanding of various approaches. My strengths also include strong communication skills and excellent problem-solving abilities. I possess a number of characteristics that may align with your needs.
I am particularly interested in a career with Mechanical engineering technician because of your good reputation as an employer and your excellent training scheme. I believe that all these factors combine to make me an ideal candidate for your company
I would greatly appreciate the opportunity to discuss how I may utilize my education and experience to become an asset to your company. I look forward to hearing from you in the near future.
Yours sincerely,
Wolfgang Meyerle
In manchen Branchen ist diese E-Mail vielleicht zu ordentlich verfasst. Dennoch wirkt sie seriös und gibt zunächst keinen Anlass für Misstrauen. Vor allem dann nicht, wenn man wie hier im Beispiel gerade einen Rollladen- und Sonnenschutzmechatroniker oder KFZ-Mechaniker sucht.
Folgende Namen werden ebenfalls als Absender verwendet:
- Marcel Meier
- Andreas Meier
Im Anhang der E-Mail befinden sich zwei Dateien, die ebenfalls auf das Unternehmen ausgerichtet sind. Diese beginnen immer mit dem Namen des Unternehmens oder Empfängers. Danach kommt ein Bindestrich und das Wort „Bewerbung“.
Update: 08.12.2016: Die Betrüger haben den Namen des Dateianhangs geringfügig geändert: In der Virus-E-Mail von Andreas Meier steht zuerst das Wort Bewerbung. Danach kommt ein Leerzeichen und der Name des Empfängers.
Bei der ersten Datei handelt es sich um eine PDF-Datei. In dieser konnten wir keinen Virus feststellen. Dennoch empfehlen wir Ihnen, die Datei nicht zu öffnen.
Die zweite Datei ist scheinbar eine Excel-Datei. Diese haben wir ebenfalls auf Viren geprüft. Sie enthält Malware und sollte auf keinem Fall geöffnet werden.
Wird der Virus von Virenscannern erkannt?
Einige Virenscanner erkennen den Virus aktuell noch nicht, weshalb sich die Schadsoftware sehr gut verbreiten kann. Deshalb ist besondere Vorsicht geboten. Falls Sie die Datei angeklickt haben, sollten Sie den Virus mit den aktuellen Virenscannern Avira Antivirus Pro und Kaspersky Internet Security 2017 erkennen und entfernen können.
Die besten Virenscanner für Windows 10 und Windows 7
Ein aktueller und hochwertiger Virenscanner ist für jeden Computer Pflicht. Lesen Sie in dieser Bestenliste, welche Virenscanner unter Windows aktuell in einem unabhängigen Test am besten abschneiden.
Welchen Schaden richtet der Virus an?
Wir können aktuell nicht genau sagen, welche Aufgabe der Virus hat. Es ist allerdings wahrscheinlich, dass sich die Schadsoftware tief im Windows-System einnistet und versucht weitere Software nachzuladen. Im besten Fall zeigt der Trojaner nur Werbeanzeigen und Pop-ups an, was allerdings mit der Zeit dazu führt, dass der Computer fast nicht mehr zu nutzen ist. Im schlimmsten Fall lädt die Malware einen Erpressungstrojaner nach, der Ihre Festplatte verschlüsselt und unbrauchbar macht.
Update 07.12.2016: Hohe Gefahr für Windows-Rechner
Nach derzeitigem Kenntnisstand ist der Virus in der Lage, die Festplatte des Computers zu verschlüsseln und damit unbrauchbar zu machen. Anschließend wird ein Lösegeld gefordert. Allerdings wird das Programm beziehungsweise dessen Auswirkungen nicht sofort nach der Ausführung aktiv, was besonders gefährlich ist. Der beste Schutz ist immer noch, dass Sie die Datei gar nicht erst öffnen.
Wie können Sie Ihren Computer wieder zum Laufen bekommen? Datenrettung
Haben Sie die Datei geöffnet und der Windows-Rechner wird verschlüsselt, dann gibt es derzeit keine guten Nachrichten. Sie haben in diesem Fall nur die Möglichkeit, eine vollständige Datensicherung von einem Zeitpunkt vor dem Empfang der E-Mail einzuspielen. Dadurch gehen nur die in der Zwischenzeit gespeicherten Daten verloren.
Nachdem Sie den Computer ausgeschaltet haben, können Sie die noch unverschlüsselten Daten von einem Spezialisten retten lassen. Bitte beachten Sie auch die wertvollen Praxis-Hinweise unserer Leser in den Kommentaren unter diesem Artikel. Diese geben Aufschluss darüber, wie andere Nutzer den Virus erfolgreich entfernen konnten.
Rolf Drescher ist Opfer eines Identitätsdiebstahls
Update: 07.12.2016: Zumindest teilweise werden in der mit einem Virus verseuchten Bewerbung von Rolf Drescher real existierende Daten verwendet. Wie Nutzer berichten, gibt es tatsächlich einen Rolf Drescher. Allerdings ist dieser nicht der Versender der Virusnachricht, sondern selbst Opfer eines Identitätsdiebstahls geworden. Die angegebene Rufnummer führt also nicht zum eigentlichen Absender der E-Mail. Wer tatsächlich hinter dem groß angelegten Angriff auf Unternehmen in Deutschland und Österreich steht, ist derzeit noch völlig unklar.
Ist die Virus-Bewerbung schon bei Ihnen eingetroffen?
Haben Sie die Bewerbung von Rolf Drescher oder Andreas Meier schon in Ihrem Postfach? Als was hat sich die fiktive Person bei Ihnen beworben? Bitte hinterlassen Sie einen Kommentar unterhalb des Artikels.
Haben Sie andere E-Mails in Ihrem Postfach, bei denen Sie einen Virus vermuten? Bitte leiten Sie die Nachrichten per E-Mail an [email protected] an uns weiter.
Bitte teilen Sie diese Viruswarnung, damit die Verbreitung gestoppt wird.
Habe heute die Bewerbung als Maschinenbediener erhalten. eine entsprechende Stelle wurde von uns bei der Arbeitsagentur vor einiger Zeit veröffentlicht. Das Inserat wurde jedoch bereits vor einigen Tagen gelöcht. Absenderadresse war [email protected]. Outlook hat die Makros deaktiviert. Die gewünschte Aktivierung der Makros wurde von mir nicht durchgeführt :-). Nach Rücksprache mit unserem Systemadmin, Abtrennung vom Netzwerk und scannen mit Symantec konnte zum Glück nichts gefunden werden. System läuft seit dem einwandfrei.
Rolf Drescher als Tiermedizinischer Fachangestellter. [email protected]
UPDATE zu: Wiederherstellung durch „Panda Ransomware-Decrypter:
Daten lassen sich allen Anschein nach NICHT wiederhestellen durch kostenlose Tools.
PC’s werden durch IT-Sicherheitsunternehmen eingesammelt, dort wird vor Ort geprüft was noch zu retten ist. Allen Anschein nach hilft aber nurnoch: Neuinstallation, Daten scheinen für immer verloren!
Grausam. Aber genau das hatten wir auch schon befürchtet. Deshalb ist der gut dran, der wenigstens eine Datensicherung besitzt.
Ich möchte mich an dieser Stelle für das ausführliche und lesenswerte Feedback in dieser unangenehmen Angelegenheit bedanken.
Viele Grüße aus der Redaktion
Ja das ist leider unerfreulich.
Gern, ich kenne mich recht gut mit solchen Dingen aus. Leider hat dies im Unternehmen nicht geholfen, da ich in den vergangenen Tagen nicht im Hause war. Sonst wär das Ausmaß bei uns nicht so gravierend. Gern kann ich ja den Kontakt zur Redaktion aufrechthalten, bin privat in der „Szene“ recht „wissend(?)“.
Sehr gerne. Wir würden uns freuen.
Viele Grüße
Vielleicht kommt noch ein Decrypter – die brauchen meist Zeit zum Entschlüsseln.
Hoffnung noch nicht aufgeben!
Ich schätze, dass der Author von „Petya“ ein Russe ist. Da ich selbst aus Rußland stamme, weiß ich, dass „Petya“ ein Rufname für den russischen Namen Pötr (Peter) ist. Außerdem, wie in Rußland üblich ist, wird nicht die deutsche Buchtabe „j“ benutzt, sondern die engliche Buchstabe „y“, um die russische Buchstabe „Я“ (ya) zu bezeichnen Es ist anzunehmen, dass der Author mit dem Vornamen Pötr oder Peter heißt.
Heute Nacht eine Bewerbung als Physiotherapeut erhalten. Adresse: [email protected]
Bei uns hat sich der Bewerber als Zahnmedizinische Fachkraft beworben. Die Datei sah seriös aus und erweckte den Eindruck über das Jobcenter des Arbeitsamtes zu kommen.
Die Mail lautete: [email protected]
Die Mail kam wie oben beschrieben angeblich von Rolf Drescher,
was mich wundert die .xls und die pdf Datei hatten einen namen
einer meiner Mitarbeiter.. wi kann das sein ?
Wahrscheinlich haben Sie eine Stelle ausgeschrieben, wo der Name des Mitarbeiters angegeben ist.
Viele Grüße aus der Redaktion
Haben heute auch die Bewerbung bekommen. Stelle „Leiter Beschaffung“, die wir auch wirklich ausgeschrieben haben. Bewerbung sieht sehr echt aus. Mail-Adresse: [email protected]
Habe die PDF-Datei geöffnet. Unser Filter hat die Excel-Datei herausgefiltert, so dass ich sie zum Glück nicht geöffnet habe.
Wir haben gestern eine Bewerbung genau wie oben beschrieben erhalten auf unsere Stellenanzeige für einen Elektroniker.
In der Excel-Datei sollte noch eine Funktion aktiviert werden um sich den Inhalt anzeigen zu lassen, das haben wir gottlob nicht gemacht, scheint nochmal gut gegangen zu sein.
Hallo,
habe leider auch so eine Mail bekommen. Bewerbung als Elektriker. Die PDF hab ich geöffnet. Hatte mich nur wegen der Entfernung gewundert. Dann als ich die Excel-Datei öffnen wollte, hat mich Excel vor dem Öffnen gewarnt und da hab ich wieder abgebrochen. Konnte sich das Virus da schon ausbreiten? Hab die Mail und die DAteien gelöscht und mach gerade einen Virenscan. Ich hoffe, dass ich nochmal Glück gehabt habe.
Solange die Excel-Makros nicht ausgeführt werden scheint keine Gefahr auszugehen.
Zur Sicherheit trotzdem: Netzwerkverbindungen am PC trennen, und gute Antiviren-Programme laufen lassen.
Generell:
Antivir-Programme sind gut ja, aber man sollte zwei getrennte Systeme verwenden: Einmal ein Antivir wie Kaspersky, Panda, Avira etc.
und dann ein Programm wie Malwarebytes Anti-Malware!
Update: Chip sagt dazu:
„Absender „Rolf Drescher“
Die E-Mails werden im Namen „Rolf Drescher“ von verschiedenen Adressen nach dem Schema „rolf.drescher@“ versandt. Diese Mails stammen nach den Recherchen von heise Security aller Wahrscheinlichkeit nach nicht von diesen Absendern. Es scheint sich um eine Racheaktion zu handeln. Die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner bietet Entschlüsselungshilfe für Opfer des Trojaners Petya an und augenscheinlich wollen sich die Drahtzieher deswegen rächen. Dafür spricht auch, dass der Goldeneye-Trojaner viel mit Petya gemeinsam hat.
Im Gespräch mit heise Security sagte eine Sprecherin der Firma, die Mails seien nicht von deren Systemen versandt worden. Die Firma werde seit heute morgen früh geradezu von Anfragen zu diesem Thema überrannt. Das habe den Geschäftsbetrieb zum Erliegen gebracht. Man habe Anzeige gegen Unbekannt erstattet.“
@Tim: wie genau hast du den Virus wegbekommen? Bei uns hat er schon 2 Server und mehrere Virtuelle Maschinen infiziert.
Per Email;
Bewerbung als Maler und Lackierer. xls mit Makros wurde von einer Mitarbeiterin ausgeführt. Von Ihrem PC hat er sich durchs Netzwerks gefressen…
Und wie genau bist du beim entfernen vorgegangen?
Einmal lief G-Data und dann Malwarebytes „Anti-Malware“. Diese beiden Programme haben unterschiedliche Erfolge erzielen können.
Generell gilt: PC SOFORT vom Netzwerk trennen.
Anschließend: nach „Panda Ransomware-Decrypt“ auf einem anderem PC suchen, runterladen, auf einen USB-Stick kopieren. Dieses Programm dann auf dem betroffenen PC ausführen. Angeblich soll es erfolge erzielen. Bei mir läuft das noch. Derzeit kann ich noch nicht sagen, ob damit Erfolge erzielt werden können.
Wir hatten heute auch eine Bewerbung von [email protected]
Habe bei der Exceldatei die Makros nicht entfernt und nicht weiter geöffnet. Bin stutzig geworden, als ich die Bewerbung nicht an meinen Chef weiterleiten konnte.
Antivirenprogramm hat bis jetzt keinen Virus, etc. gefunden.
Update:
Laut IT-Berater können verschlüsselte Dateien erfolgreich mit der kostenlosen „Panda Ransomware Decrypt“ gerettet werden. Die Antivir-Empfehlungen dieser Seite haben auch geholfen. Malwarebytes und das Antivir von Panda hatte den Virus auch erfolgreich entfernen können.
UPDATE:
Virus hat sich RASENDSCHNELL über das Netzwerk ausgebreitet auf den Server! Auf diesem sind einige Dateien verschlüsselt, dort liegt auch die .txt Datei mit folgendem Inhalt:
„You became victim of the GOLDENEYE RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way
to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at „https://www.torproject.org/“. If you need help, please google for
„access onion page“.
2. Visit one of the following pages with the Tor Browser:
[LINK ENTFERNT]
3. Enter your personal decryption code there:
q8onY9q25wnwSpVNDazaJJw1zTuk4iWrqCuSG4oXxWFrxSoD7ii575TgTPZsgPQ9ATpdQEp3VwfvEJB3vLd8vRuqSrahXbYC“
Inzwischen wächst bei uns die ratlosigkeit – hat uns wohl sehr hart getroffen.
Hallo Zusammen,
bis jetzt ist Herr Drescher mit folgenden Emails durch gekommen.
[email protected]
[email protected]
[email protected]
[email protected]
laut Chip gibt es schon eine Lösung dafür.
Gruss
Chris
In unserer Firma wurde der xls-Anhang in der Bewerbung auf einer virtuellen Maschine ebenfalls ausgeführt. Nach vergeblichem Versuch, den Excel-Task zu beenden, erschien nach Anmelden von einem anderen Rechner aus auf der selben Maschine kurzzeitig ein Bluescreen. Nach dem Neustart erschien ein vermeintliches „CHKDSK“-Bild, welches angeblich den „beschädigten“ Datenträger C: repariert. Nach ca. 30 min wurde die virtuelle Maschine ausgeschaltet (Power Off). Nach dem erneuten Einschalten erschien ein animierter blinkender Totenkopf auf dem Bildschirm mit dem Hinweis „Press Any Key“. Da ich auf der Tastatur keinen „Any“-Key gefunden habe, habe ich die Maschine wieder ausgeschaltet. 😉
Eingegangen – Bewerbung als Physiotherapeut
Stellenangebot gemeldet bei der Arbeitsagentur – besteht ein Zusammenhang?
Mit freundlichen Grüßen, Ina Richter
Wir haben heute (07.12.16) eine Bewerbung für eine Stelle als Rechtsanwalt von Rolf Drescher erhalten. Leider habe ich die Excel Datei geöffnet, allerdings nur auf meinem iPhone 7 Plus. Ist es möglich, dass die Verschlüsselung hier ebenfalls greift oder funktioniert sie nur auf Windows Systemen?
Nach bisherigen Erkenntnissen ist der Virus auf dem iPhone nicht gefährlich.
Viele Grüße aus der Redaktion
Heute morgen am 07.12.2016 mit dem Absender und Betreff: Betreff: Bewerbung als Maler und Lackierer – Gestaltung und Instandhaltung
Von: Rolf Drescher
Exceldatei mit Makros
ein PDF mit Kontaktdaten
—- schönes Nikolausgeschnek 🙁 —–