Warnung
*

Polizei: Trickreiche Er­pressungs­soft­ware kommt per Mail

Mit dem Betreff "Invoice" landet aktuell die Erpressungssoftware "Jaff" in E-Mail-Postfächern. Die Polizei warnt vor dem Öffnen des Anhangs und schildert die Folgen.
Von mit Material von dpa

Zahlungsaufforderung der Erpressungssoftware Jaff Zahlungsaufforderung der Erpressungssoftware Jaff
Bild: LKA Niedersachsen Niedersachsens Landeskriminalamt warnt vor einer per E-Mail versandter Erpressungssoftware. Das Programm mit dem Namen "Jaff" kommt als vermeintliche Rechnung getarnt mit dem Betreff "Invoice" und anschließender zufälliger Nummer ins Postfach. Ein kurzer Text fordert zum Öffnen der Rechnung im Anhang auf. Wer eine solche Mail erhält, sollte sie am besten sofort löschen.

Das PDF-Dokument im Anhang enthält nämlich ein integriertes Word-Dokument, das über ein Makro selbsttätig weitere Software auf den Computer laden kann. Über diesen Weg wollen die unbekannten Absender den Erpressungs-Trojaner auf den Rechner schleusen. Er verschlüsselt im Hintergrund Dateien und fordert für deren Freigabe Geld in der Digitalwährung Bitcoin.

Wer die Mail öffnet, hat eine letzte Gelegenheit, die Infektion mit der Schadsoftware zu verhindern. Denn vor Ausführung des Makros erscheint eine Sicherheitswarnung. Hier darf auf keinen Fall das Ausführen von Makros erlaubt werden. Stattdessen sollten Nutzer auf "Abbrechen" klicken und die Mail schleunigst löschen.

Was bewirkt die Verschleierung per PDF-Datei?

Zahlungsaufforderung der Erpressungssoftware Jaff Zahlungsaufforderung der Erpressungssoftware Jaff
Bild: LKA Niedersachsen Der Umweg über die PDF führt laut dem LKA hier also zunächst zu einer sinnvollen Sicher­heits­ab­frage, die vom Anwender bestätigt werden muss. Für die Täter hat das Prozedere den Vorteil, dass der PDF-Anhang seltener durch Anti­viren­soft­ware heraus­ge­filtert wird und im Allgemeinen als sicher betrachtet werden dürfte.

Nach der erfolgreichen Verschlüsselung sind die Dateien nach Auskunft des LKA übrigens mit der Endung ".wlu" versehen und die Entschlüsselungsanweisungen sind als .html, .txt und .png in jedem Ordner gespeichert.

Sinnvoll ist es in jedem Fall, ein regelmäßiges Backup nicht nur der privaten Daten, sondern der kompletten Festplatte anzulegen, beispielsweise mit einem Imaging-Programm. Dann kann ein funktionierendes Image der Festplatte zurückgespielt werden, wenn ein derartiger Schaden unabsichtlich ausgelöst wurde.

Update 26. Juni: Entschlüsselungstool verfügbar

Der seit Anfang Juni aktive Krypto-Trojaner Jaff ist geknackt worden. Mit einem kostenlosen Entschlüsselungs-Tool namens Rakhni-Decryptor können Opfer der Schadsoftware ihre Daten wieder nutzbar machen. Darauf weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) hin. Der Rakhni-Decryptor kann etwa auf der von Europol mitgetragenen Seite Nomoreransom.org heruntergeladen werden.

Ein Erpressungstrojaner war auch der kürzlich aufgetretene WannaCry-Virus.

Mehr zum Thema Schadsoftware