Erpressungstrojaner in PDF-Dateien versteckt

Derzeit werden von Cyberkriminellen E-Mails mit einem manipulierten PDF-Dokument versendet. Beim Öffnen des PDF-Dokumentes kann der Erpressungstrojaner „Jaff“ auf dem Rechner Daten verschlüsseln.

Als Betreff wird in der Regel "Invoice" mit anschließend zufälliger Nummer angegeben. Der eigentliche Mailtext wird dabei sehr kurz gehalten und fordert lediglich zum Öffnen des Anhanges auf.

'Initiates file download'

Der Anhang ist eine PDF-Datei mit angehängtem Word-Dokument. Dies bedeutet, das Word-Dokument ist direkt in die PDF integriert und für den Anwender ist eigentlich nur eine PDF-Datei zu erkennen. Die Word-Datei selber enthält jedoch ein Makro, welches die eigentliche Schadsoftware aus dem Netz herunterlädt und ausführt. Öffnet man die PDF-Datei, wird per Java-Script das Word-Dokument ausgeführt. Dies muss zuvor durch den Benutzer bestätigt werden.

Befallene Dateien erhalten die Namenserweiterung „.wlu“ und lassen sich nicht mehr öffnen. Für die Freigabe wird ein Lösegeld von rund 2 Bitcoin (etwa 4.200 Euro) verlangt.

Bis zur Infektion sind allerdings mehrere Schritte nötig:

  • Öffnen eines manipulierten PDF-Dokumentes
  • Darin eine Sicherheitswarnung mit „OK“ bestätigen
  • Dadurch wird aus dem PDF-Dokument heraus eine Word-Datei mit Makros extrahiert
  •  Sobald die Makros im Word-Dokument durch den Empfänger aktiviert werden, findet die Infektion statt:
     

Im Gegensatz zu anderen Trojanern benötigt „Jaff“ keine Internetverbindung, sondern das Schadenswerk soll auch offline funktionieren!

E-Mails von unbekannter Herkunft sollten auf gar keinen Fall geöffnet, sondern gleich gelöscht werden und ggf. ist vor dem Öffnen von Dateianhängen von bekannten Absendern eine Rückversicherung über die Entstehung und Herkunft einzuholen.

Aktuelle Informationen des LKA-Niedersachsen

Tipps ihrer Ortspolizeibehörde Bremerhaven

Zurück