Zum Wochenende noch eine dringende Warnung für Computerbenutzer. Momentan werden E-Mails in breiter Masse verschickt, die angeblich von Media Markt stammen und einen sogenannten Crypto-Trojaner im Gepäck haben, der den Rechner des Empfängers durch Verschlüsselung unbrauchbar macht.
Nicht von Media Markt!
Um es gleich klarzustellen, die E-Mail kommt nicht von Media Markt – also bitte nicht bei denen im lokalen Markt beschweren. Vielmehr nutzen Online-Kriminelle den bekannten Namen dieser Marke, um potentieller Opfer in Sicherheit zu wiegen und eine schädliche Software zu installieren.
Die Nachricht geht im Sinne von Phishing-Mails an sehr viele deutschsprachige Empfänger. Die E-Mail-Adressen haben die Täter aus den in letzter Zeit bekannt gewordenen Hacks oder Datenlecks sowie von infizierten Rechnern, auf denen E-Mail-Adressen oder Adressbestände per Trojaner abgefischt wurden. Und was heute unter der Flagge von "Media Markt" segelt, kann morgen unter der Flagge von (vorgeblich) anderen Marken wie Amazon, PayPal, Microsoft, Telekom oder was auch immer daherkommen.
Um was geht es genau?
Die Empfänger erhalten eine E-Mail, die vorgeblich von Media Markt stammt und die Auslieferung einer Bestellung – aktuell eine Blue-Ray Disk – ankündigt. Hier mal ein nachempfundenes Beispiel.
Absender: kapsreiter@vipfile24.ru
Betreff: Ihre Reservierung wird ausgeliefert 081547
Sehr geehrter Client,
Danke für die Bestellung von "the amazing spider-man (3d) [3d blue-ray"
Voraussichtliches Ankunftsdatum ist morgen, …
Um Ihre Bestellung zu bestätigen (oder abzubrechen), bitte benutzen
Sie Ihren einzigartigen Kunden ID Schlüssel,
indem Sie den unten genannten
Klicken Sie hier
Ein Screenshot einer Original-Mail findet sich bei heise.de. Der Betreff besteht aus "Ihre Reservierung wird ausgeliefert" mit angehängtem sechsstelligen Code. Der Link zur "Bestellung" führt in der Tat auf die Produktseite im Media Markt-Online-Shop. Sieht scheinbar 'offiziell' aus.
Aber: Der Absender in Form einer russischen E-Mail-Adresse, sowie die gestelzte Anrede "Sehr geehrter Client" sollte jeden deutschen Muttersprachler stutzen lassen. Auch die Schreibfehler im weiteren Textverlauf deuten es schon an: Es handelt sich um eine gefälschte E-Mail. Sinn und Zweck ist es, den Empfänger, der nichts von einer Bestellung weiß, zum Klicken auf den Link Kicken Sie hier zu verleiten.
Cerber Crypto-Trojaner im Gepäck
Eigentlich sollte sich zwischenzeitlich bei E-Mail-Nutzern herumgesprochen haben, dass man nicht einfach auf Links in Mails klickt, weil sich dahinter schädliche Webseiten verstecken können. Im Fall der "MediaMarkt"-Mail wird man über verschiedene Webseiten auf eine Seite umgeleitet, die den Crypto-Trojaner Cerber zum Download anbietet.
Gelangt dieser Crypto-Trojaner Cerber auf das Windows-System des Opfers, beginnt dieser mit der Verschlüsselung aller Dokumentdateien, die auf der Festplatte und ggf. im Netzwerk erreichbar sind. Anschließend verlangt Cerber Lösegeld im Gegenwert von 500 Euro in Form von Bitcoins (Cyberwährung), bevor er die Informationen zum Aufheben der Verschlüsselung der Dateien liefern will. Aber auch nach Zahlung des Lösegelds ist unsicher, ob sich die Daten wieder entschlüsseln lassen – es gibt genügend Fälle, wo das nicht geklappt hat und die Cyber-Kriminellen sich mit dem Geld unerkannt aus dem Staub machen konnten.
Also: Immer vorsichtig bleiben und solche Mails direkt in den Papierkorb des Postfachs schieben, um diese anschließend löschen zu lassen. Ist das Malheur passiert, muss man davon ausgehen, dass persönliche Dokumente futsch sind und den Rechner von einem Fachmann neu aufsetzen lassen. Ein paar Informationen finden sich noch in diesem Beitrag in meinem IT-Blog.