Selbstständige, Gewerbetreibende und Personalabteilungen werden aktuell mit einem Virus angegriffen. Dieser kommt in Form einer Bewerbung, die besonders trickreich ist und deshalb nicht erkannt wird. Wer den Anhang öffnet, installiert sich Schadsoftware. Wir erklären, woran Sie die E-Mail erkennen.
Erneut wird schädliche Software über eine Bewerbung verteilt. In der Vergangenheit haben wir über Bewerbungen mit Virus bereits berichtet. Jetzt macht eine neue E-Mail die Runde, die aufgrund ihrer Aufmachung besonders gefährlich ist. Wir möchten gleich vorab warnen:
Woran erkennen Sie die Bewerbung per E-Mail?
Die uns vorliegenden Bewerbungen stammen alle von dem gleichen Absender. Genannt ist ein Rolf Drescher, Wolfgang Meyerle oder Andreas Meier, der als Absender jedoch unterschiedliche E-Mail-Adressen verwendet. Besonders gefährlich ist, dass die Kriminellen den Inhalt der E-Mail ganz exakt auf das empfangende Unternehmen ausrichten. Im Text ist ein Berufsbild genannt, welches zum Unternehmen passt. Nicht auszuschließen ist, das die Stelle aktuell gerade zu besetzen und deshalb in öffentlichen Stellenmärkten ausgeschrieben ist. Deshalb wird der Nachricht oft vertraut. So lautet der Text der E-Mail:
Sehr geehrter Herr …,
hiermit bewerbe ich mich bei Ihnen für die die Stelle als Rollladen- und Sonnenschutzmechatroniker. Meine vollständigen Bewerbungsunterlagen können Sie dem Anhang entnehmen.
Ich freue mich auf Ihre Rückmeldung und stehe Ihnen bei Rückfragen jederzeit gerne zur Verfügung.
Mit freundlichen Grüßen
Rolf Drescher
Sehr geehrte Damen und Herren,
hiermit bewerbe ich mich bei Ihnen für die die Stelle als Berufserfahrener, zuverlässiger KFZ Mechaniker für …. Meine vollständigen Bewerbungsunterlagen können Sie dem Anhang entnehmen.
Ich freue mich auf Ihre Rückmeldung und stehe Ihnen bei Rückfragen jederzeit gerne zur Verfügung.
Mit freundlichem Gruß
Andreas Meier
Dear Sir or Madam,
As a qualified individual with international experience and strong motivation to work on your company, I am submitting my CV to be considered for any openings you may have.
These courses, as well as the experience of working abroad, have given me a valuable understanding of various approaches. My strengths also include strong communication skills and excellent problem-solving abilities. I possess a number of characteristics that may align with your needs.
I am particularly interested in a career with Mechanical engineering technician because of your good reputation as an employer and your excellent training scheme. I believe that all these factors combine to make me an ideal candidate for your company
I would greatly appreciate the opportunity to discuss how I may utilize my education and experience to become an asset to your company. I look forward to hearing from you in the near future.
Yours sincerely,
Wolfgang Meyerle
In manchen Branchen ist diese E-Mail vielleicht zu ordentlich verfasst. Dennoch wirkt sie seriös und gibt zunächst keinen Anlass für Misstrauen. Vor allem dann nicht, wenn man wie hier im Beispiel gerade einen Rollladen- und Sonnenschutzmechatroniker oder KFZ-Mechaniker sucht.
Folgende Namen werden ebenfalls als Absender verwendet:
- Marcel Meier
- Andreas Meier
Im Anhang der E-Mail befinden sich zwei Dateien, die ebenfalls auf das Unternehmen ausgerichtet sind. Diese beginnen immer mit dem Namen des Unternehmens oder Empfängers. Danach kommt ein Bindestrich und das Wort „Bewerbung“.
Update: 08.12.2016: Die Betrüger haben den Namen des Dateianhangs geringfügig geändert: In der Virus-E-Mail von Andreas Meier steht zuerst das Wort Bewerbung. Danach kommt ein Leerzeichen und der Name des Empfängers.
Bei der ersten Datei handelt es sich um eine PDF-Datei. In dieser konnten wir keinen Virus feststellen. Dennoch empfehlen wir Ihnen, die Datei nicht zu öffnen.
Die zweite Datei ist scheinbar eine Excel-Datei. Diese haben wir ebenfalls auf Viren geprüft. Sie enthält Malware und sollte auf keinem Fall geöffnet werden.
Wird der Virus von Virenscannern erkannt?
Einige Virenscanner erkennen den Virus aktuell noch nicht, weshalb sich die Schadsoftware sehr gut verbreiten kann. Deshalb ist besondere Vorsicht geboten. Falls Sie die Datei angeklickt haben, sollten Sie den Virus mit den aktuellen Virenscannern Avira Antivirus Pro und Kaspersky Internet Security 2017 erkennen und entfernen können.
Die besten Virenscanner für Windows 10 und Windows 7
Ein aktueller und hochwertiger Virenscanner ist für jeden Computer Pflicht. Lesen Sie in dieser Bestenliste, welche Virenscanner unter Windows aktuell in einem unabhängigen Test am besten abschneiden.
Welchen Schaden richtet der Virus an?
Wir können aktuell nicht genau sagen, welche Aufgabe der Virus hat. Es ist allerdings wahrscheinlich, dass sich die Schadsoftware tief im Windows-System einnistet und versucht weitere Software nachzuladen. Im besten Fall zeigt der Trojaner nur Werbeanzeigen und Pop-ups an, was allerdings mit der Zeit dazu führt, dass der Computer fast nicht mehr zu nutzen ist. Im schlimmsten Fall lädt die Malware einen Erpressungstrojaner nach, der Ihre Festplatte verschlüsselt und unbrauchbar macht.
Update 07.12.2016: Hohe Gefahr für Windows-Rechner
Nach derzeitigem Kenntnisstand ist der Virus in der Lage, die Festplatte des Computers zu verschlüsseln und damit unbrauchbar zu machen. Anschließend wird ein Lösegeld gefordert. Allerdings wird das Programm beziehungsweise dessen Auswirkungen nicht sofort nach der Ausführung aktiv, was besonders gefährlich ist. Der beste Schutz ist immer noch, dass Sie die Datei gar nicht erst öffnen.
Wie können Sie Ihren Computer wieder zum Laufen bekommen? Datenrettung
Haben Sie die Datei geöffnet und der Windows-Rechner wird verschlüsselt, dann gibt es derzeit keine guten Nachrichten. Sie haben in diesem Fall nur die Möglichkeit, eine vollständige Datensicherung von einem Zeitpunkt vor dem Empfang der E-Mail einzuspielen. Dadurch gehen nur die in der Zwischenzeit gespeicherten Daten verloren.
Nachdem Sie den Computer ausgeschaltet haben, können Sie die noch unverschlüsselten Daten von einem Spezialisten retten lassen. Bitte beachten Sie auch die wertvollen Praxis-Hinweise unserer Leser in den Kommentaren unter diesem Artikel. Diese geben Aufschluss darüber, wie andere Nutzer den Virus erfolgreich entfernen konnten.
Rolf Drescher ist Opfer eines Identitätsdiebstahls
Update: 07.12.2016: Zumindest teilweise werden in der mit einem Virus verseuchten Bewerbung von Rolf Drescher real existierende Daten verwendet. Wie Nutzer berichten, gibt es tatsächlich einen Rolf Drescher. Allerdings ist dieser nicht der Versender der Virusnachricht, sondern selbst Opfer eines Identitätsdiebstahls geworden. Die angegebene Rufnummer führt also nicht zum eigentlichen Absender der E-Mail. Wer tatsächlich hinter dem groß angelegten Angriff auf Unternehmen in Deutschland und Österreich steht, ist derzeit noch völlig unklar.
Ist die Virus-Bewerbung schon bei Ihnen eingetroffen?
Haben Sie die Bewerbung von Rolf Drescher oder Andreas Meier schon in Ihrem Postfach? Als was hat sich die fiktive Person bei Ihnen beworben? Bitte hinterlassen Sie einen Kommentar unterhalb des Artikels.
Haben Sie andere E-Mails in Ihrem Postfach, bei denen Sie einen Virus vermuten? Bitte leiten Sie die Nachrichten per E-Mail an [email protected] an uns weiter.
Bitte teilen Sie diese Viruswarnung, damit die Verbreitung gestoppt wird.
Hallo Community,
Leider ist der Beitrag nicht ordentlich recherchiert.
Wenn Sie die Makros in der anliegenden Excel-Datei aktivieren, fangen Sie sich den „Goldeneye“-Trojaner ein, der Ihre Festplatte verschlüsselt. Nachgeladen wird da nichts.
Ich möchte jeden Empfänger der unter meinem Namen gesendeten E-Mail dringend darum bitten, Strafanzeige bei der Polizei zu stellen. Lassen Sie sich bitte von Ihrer Polizeidienststelle nicht abwimmeln.
Hintergrund: Die Kriminalität der Zukunft ist nicht Taschendiebstahl oder Falschparken, sondern so etwas wie hier. Und es wird Zeit, dass die Politik das erkennt und die Polizei endlich personell und apparativ für das 21. Jahrhundert ausstattet.
Beste Grüße an alle, Rolf B. Drescher aus Mitteleschenbach (mich gibt es tatsächlich).
Andreas Meier hat sich als Altenpfleger beworben.
Andreas Meier hat sich bei mir als Maschinenschlosser beworben.
Gott sei Dank mit dem Handy geöffnet. Wenn man die Nummer zurückruft, kommt gleich eine Ansage dass der Herr Opfer von Betrügern geworden ist.
bei mir – einem Gastronomiebetrieb hat sich Herr Andreas Meier als Kellner mit Inkasso beworben – so wie im Inserat gesucht.
ich habe eine pdf Datei und eine exel Datei bekommen. Da die Bewerbung zur dringenden Besetzung des offenen Postens sozusagen maßgeschneidert war, haben wir die Anhänge geöffnet. wir arbeiten auf mac- Computer.
Bei der pdf Datei hat sich nichts getan, bei der exeldatei hat zwar der Virenscanner sofort eine Warnung gebracht, aber das system wurde langsamer und sei heute lassen sich Dokumente nicht öffnen und geht nicht mehr. ich hatte leider zum Zeitpunkt des mails paralles geöffnet weil ich in einem windowsprogramm gearbeitet habe und somit auch windows laufen und glaube, dass ich mir so auch den Mac infiziert habe…Gerät ist jetzt bei einem Spezialisten
„Rolf Drescher“ hat sich als Erzieher beworben.
Hallo, ich bin betroffener der Drescher Mails. 2 Festplatten sind komplett in .rar verschlüsselt und auf die Daten besteht keinerlei Zugriff mehr. Wird es Möglichkeiten geben die Daten zu retten ?
Rolf Drescher Bewerbung als Kraftfahrer. Könnte die Exel Datei nicht öffnen, da Gmail sie als Virus eingestuft hat. Ich hoffe das doch nichts mit unserem PC passiert. Man man solche schw…..
Andreas Meier – Bewerbung als Sozialpädagoge. Eine entsprechende Ausschreibung gibt es lediglich auf unserer Homepage…
Ich habe auch diese Mail von Rolf Drescher erhalten und gott sei dank, hat mein Virenprogramm sofort reagiert!
Diese Woche haben wir eine Bewerbung als Zimmerer von einem „Andreas Meier aus Mitteleschenbach“ erhalten – aktuell suchen wir auch jemanden – und haben ihn heute telef. kontaktiert: Die Mobilnr. gehört tatsächlich einem Andreas Meier, der bereits auf seinem AB darauf hinweist, dass er sich nirgends beworben hat.
Da wir von der Handwerkskammer vor Bewerbermails gewarnt wurden, haben wir nur die pdf-Datei geöffnet.
Uns wurde gesagt, dass eine pdf-Datei keinen Schaden anrichten kann. Ist diese Aussage richtig?
Hallo Herr Bauer,
wir würden das so pauschal nicht unterschreiben.
Die Vergangenheit hat gezeigt, dass PDF-Dateien schädlichen Code enthalten können. Es ist immer Vorsicht angezeigt.
Viele Grüße aus der Redaktion
Bei uns hat sich Rolf Drescher als Trockenbauer beworben.
Guten Tag. Kann jeman bestätigen dass das Tool am Mac keinen Schaden anrichten kann?
Alle uns bisher bekannten Versionen haben es auf Windows abgesehen. Uns ist auch kein Fall bekannt, bei dem ein Mac Schaden genommen hätte.
Es kann allerdings nicht ausgeschlossen werden, dass auch OS X angegriffen wird.
Viele Grüße aus der Redaktion
Hallo Zusammen!
Wir haben die Bewerbung auch erhalten. Die Daten wurden von der Webseite der Agentur für Arbeit entwendet. Es trifft auf eine aktuelle Stelle hin!
Die Watchguard Firewall hat den Anhang identifiziert und unschädlich gemacht. Deswegen hat die Personalabteilung die Unterlagen von Herrn Drescher nochmal als PDF angefordert. :-/ Die Mail lief natürlich ins Leere, weswegen ich hinzugezogen wurde, warum unser Email System mal wieder nicht die Mails zustellt.
Habe leider Rolf Drescher geöffnet…mit Anhang. Habe danach sofort Avira pro scannen lassen, hat auch was gefunden und gelöscht. Bis jetzt konnte ich nichts negatives finden (ca 10 h her). Kann ich davon ausgehen, das jetzt alles ok ist? Ansonsten benutzen wir AVG…
Hallo
Habe die Mail bekommen und leider geöffnet. Avira schlug sofort an und hat die Dateien in Quarantäne verschoben. Habe sie dann gelöscht. Rechner ist vom Netz und mache nochmal Viren Suchlauf. Meint Ihr ich hatte Glück?
VG Sabine
Moin. Bei mir als Heizungsbauer (Anlagenmechaniker Sanitär Heizung Klima) vorgestellt.
Verbreitet / Installiert sich der Virus auch, wenn in Excel die Makros deaktiviert sind und der Aufforderung zum Aktivieren nicht nachgekommen wurde? Also Excel wieder geschlossen wurde?
Bei uns hat sich Rolf Drescher als Pflasterer beworben. Die Mail kam am 7.12.2016 um 5.17 Uhr an. Der virenscanner hat es nicht als malware erkannt. Die Anhänge hatten meinen Namen und Bewebung im Text mit .txt und pdf.
Da wir zur Zeit die Stelle über das Arbeitsamt ausgeschrieben haben wurde die Bewerbung wie alle Anderen auch ausgedruckt mit den Anhängen. Am Morgen des 8. 12. 2016 konnten Exeldateien auf dem Server nicht mehr geöffnet werden. Auch einige andere Programme lassenn sich nicht öffnen. Schnell kam unser Verdacht auf die Mail von Rolf Drescher. Wir haben eine komplette Datenrücksicherung machen müssen.
Haben heute eine Bewerbung von Andreas Meier als Elektroniker-Betriebstechnik erhalten. Die Stelle ist beim Jobcenter ausgeschrieben. Sah täuschend echt aus. Habe beide Dateien vor dem Öffnen mit Avira gescannt, hat nicht angeschlagen also habe ich zuerst die PDF geöffnet, da war auch eine Bewerbung mit Lichtbild etc. enthalten, sah echt aus. Beim Öffnen der Excel Datei, wurde ich aufgefordert den geschützten Modus zu verlassen. Habe die Datei sofort geschlossen und alles gelöscht und den Rechner vom Netzwerk getrennt.
Beim Überprüfen konnte Avira nichts feststellen. Der Rechner verhält sich auch schon seit 08:30 unauffällig. Habe ihn öfter schon neu gestartet.
Denke da ist nichts drauf da Makros deaktiviert war? Würde man den Virus in der Zeit schon bemerken?
Ja. Normalerweise müsste er sich in der Zeit bemerkbar machen, indem mindestens einzelne Dateien sich nicht öffnen lassen oder Dateinamen mysteriöse Erweiterungen haben.
Viele Grüße
Bei mir waren die Makros auch deaktiviert. Ich habe bis jetzt auch keine Auffälligkeiten. Und auch die Virenscanner schlagen nicht an. Hoffen wir das beste!
Wir haben die Mail in der Nacht vom 06/12/16 auf den 07/12/16 erhalten, Absender war hier: [email protected].
Leider wurden beide Dateien geöffnet…, da diese Bewerbung wirklich täuschend echt war (richtige Ansprechpartner etc.). Wir arbeiten in 3 Niederlassungen in Deutschland auf einem externen Server (Windows). Innerhalb von 10 Minuten konnten 8 User nichts mehr machen. Der Schaden geht in den 4 stelligen Bereich. Das Virus hat den kompletten Betrieb landesweit zum erliegen gebracht. Also, Achtung!!!!
Wir haben heute die Bewerbung mit xls- und pdf-Anhang von Markus Meier [email protected] als PTA erhalten.