Vorsicht Falle!

[Daniel-la]

Die Deutsche Bahn warnt davor, Online-Tickets auf der Webseite bahnheld.com zu kaufen. Diese lockt Nutzer damit, Fahrkarten garantiert bis zu 50 Prozent günstiger anzubieten.


Die Tickets würden aber - anders als behauptet - nicht mit gespendeten Reisegutscheinen, sondern mit gestohlenen Kreditkartendaten bezahlt. Es laufe ein Verfahren gegen den Betreiber, so die Bahn. Das Portal arbeite nicht mit der Deutschen Bahn zusammen.

Die Bahn warnt, dass auf bahnheld.com gekaufte Tickets bei der Kontrolle als Fälschung identifiziert werden könnten. Der Kunde müsste dann ein neues Ticket kaufen. Die persönlichen Daten, die Nutzer beim Bezahlen auf dem Portal eingeben, könnten außerdem für strafbare Handlungen benutzt werden.

[Urmel]

Ein bisher unbekannter Verschlüsselungstrojaner tarnt sich als Bewerbungs-E-Mail und versucht, Systeme in ganz Deutschland zu verschlüsseln. Momentan wird er von vielen Virenscannern noch nicht erkannt.

Ein neuer Verschlüsselungstrojaner treibt seit heute morgen in Deutschland sein Unwesen. Die Ransomware Goldeneye (anscheinend eine Anspielung auf die EMP-Waffe aus Pierce Brosnans erstem James-Bond-Film) wird per E-Mail verbreitet, an der eine XLS-Datei hängt. Die Mails sind als Bewerbung getarnt und in fehlerfreiem Deutsch formuliert, was die Erkennung als potenzielle Gefahr erschwert.

Öffnet der Nutzer die angehängte Excel-Datei, wird er im Dokument darum gebeten, die \"Bearbeitungsfunktion\" des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Tut man dies und erlaubt dem Programm so, Makros auszuführen, ist es zu spät. Der Trojaner erzeugt dann zwei EXE-Dateien, führt sie aus und verschlüsselt Daten auf dem System, um anschließend Lösegeld zu fordern.
Ähnlichkeiten zum Petya-Trojaner

Mehrere Leser von heise Security haben uns auf den Goldeneye-Trojaner hingewiesen. Der Schadcode scheint, ähnlich wie Petya und seine Ableger, den Rechner zu einem Neustart zu zwingen und dann unter Vorwand eines gefakten Chkdsk-Bildschirms die Daten zu verschlüsseln. Verschlüsselte Dateien hatten bei mindestens einem betroffenen Nutzer die Endung \"uDz2j8mv\". Es ist allerdings denkbar, dass diese Endung variiert. Das Virentestlabor AV-Test, welches uns Samples des Trojaners zur Verfügung gestellt hat, beobachtet rapide Veränderungen an der XLS-Datei, welche die Infektion auslöst. Das soll höchstwahrscheinlich Virenjäger auf die falsche Fährte locken.

Auf der Festplatte hinterlegt der Trojaner eine Textdatei die ankündigt, Daten seien von der \"GOLDENEYE RANSOMWARE\" verschlüsselt. Diese Warnung wird auch auf Netzlaufwerken abgelegt. Bisher gibt es allerdings keine Anzeichen, dass auch hier Daten verschlüsselt werden.

Momentan werden die bösartigen EXE-Dateien nach Erkenntnissen von AV-Test von nur sehr wenigen Virenscannern entdeckt. Ergebnisse beim Online-AV-Aggregator VirusTotal bestätigen dies. Bei den Excel-Dateien sieht es mit den Entdeckungsraten schon besser aus, weswegen die Drahtzieher des Trojaners diese wohl ständig ändern.

[Daniel-la]

:danke: für die Warnung, Urmel.
Ich öffne zwar grundsätzlich nichts, was ich nicht kenne und wo ich den Absender
nicht kenne, aber man weiss ja nie. Also, Augen auf!