Bergisches Land | Aktuell erhalten Unternehmen vereinzelt gefälschte E-Mails, die vorgeben, eine Bewerbung auf ein bei der Agentur für Arbeit gemeldetes Stellenangebot einzusenden. Der E-Mail-Anhang enthält die Schadsoftware „Ordinypt“. Die Datei-Anhänge sollten auf keinen Fall geöffnet werden!
Unternehmen droht aktuell Schaden durch den Erpressungs-Trojaner „Ordinypt“, der durch E-Mails verbreitet wird.
Die Schadsoftware ist in den Datei-Anhängen von E-Mails versteckt, die als Bewerbung auf ein bei der Agentur für Arbeit gemeldetes Jobangebot getarnt sind. Die Mails wirken vertrauenswürdig und werden von unterschiedlichen, unauffälligen Mail-Adressen versandt. Inhalt und Sprache der E-Mails wirken unverdächtig, im Betreff der E-Mail steht in der aktuellen Version „Bewerbung via Arbeitsagentur – Eva Richter“.
Die Bundesagentur für Arbeit (BA) weist ausdrücklich darauf hin, dass sie in keinerlei Zusammenhang mit derartigen E-Mails steht.
Die BA rät, verdächtige E-Mails ungelesen zu löschen, die zum Beispiel auf ein Stellenangebot bei der BA verweisen, dass es nicht gibt. Auch der CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) warnt ausdrücklich davor, verdächtige E-Mail-Anhänge zu öffnen.
Schadsoftware im Anhang
Im Anhang der gefälschten Bewerbungs-E-Mails ist die Schadsoftware „Ordinypt“ in Form eines zip-Archivs verborgen. Wer den infizierten Anhang öffnet, stößt damit einen äußerst schädlichen Vorgang an: Alle Dateien des Computers werden automatisch überschrieben und durch gleichnamige, leere Dateien mit einer anderen Dateiendung ersetzt. Auf die gespeicherten Informationen kann nicht mehr zugegriffen werden.
Hinzu kommt: Die Schadsoftware kann über infizierte Rechner auch andere Computer und Server innerhalb eines Netzwerks angreifen. Auf diese Weise kann sie weitere Dateien zerstören.
Lösegeldzahlung nutzlos
Die Betroffenen werden anschließend per E-Mail aufgefordert, Lösegeld für die Entschlüsselung der Dateien zu zahlen – die zu diesem Zeitpunkt bereits unwiederbringlich gelöscht sind.
Es wird daher dringend davon abgeraten, die Dateianhänge verdächtiger E-Mails zu öffnen!
Der Trojaner „Ordinypt“ folgt aktuell auf die Schadsoftware „GermanWiper“, die vor rund drei Monaten mittels desselben Prinzips – eine plausibel wirkende Bewerbung als Tarnung einer zip-Datei – versuchte, Lösegeld zu erpressen. Ein Beispiel für eine mit dem vergleichbaren Trojaner „GermanWiper“ infizierte E-Mail und weitere Informationen finden Sie auf dem Twitter-Kanal des CERT-Bund.