Diese Email sollten Sie sofort löschen und den Dateianhang auf keinen Fall öffnen. Der Name in den Mails kann auch anders lauten, es gab unter anderem auch schon Versionen mit „Peter Schnell“, „Caroline Schneider“ und „Viktoria Henschel“.
Alles bis zum Entpacken des Anhangs ist noch ungefährlich
Der reine Empfang der Email und auch das Entpacken des anhängenden Archivs löst nach jetzigem Wissensstand noch keine Infektion aus.
Erst wenn jemand das Archiv entpackt und die darin enthaltene Datei öffnet, holt er sich damit einen Windows-Erpressungstrojaner auf den Computer, der Dateien verschlüsselt und erst nach einer Lösegeld-Zahlung wieder freigeben will. Laut dem Online-Analysedienst Virustotal handelt es sich bei dem Schädling um die Ransomware GandCrab 5.0.4.
Der Ablauf einer Infektion
Die Email ist in korrektem Deutsch verfasst und bringt als Anhang ein passwortgschütztes RAR-Archiv mit, in dem die Datei „Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe“ steckt. Das Kennwort für das Archiv steht in der Nachricht. Das soll verhindern, dass Virenschutzprogramme in den Anhang hineinschauen können.
Weil Windows normalerweise bekannte Dateiendungen (.exe) ausblendet, sieht die Datei so aus, als sei sie ein PDF-Dokument. Es handelt sich aber immer noch um eine ausführbare Datei. Wer dann einen Doppelklick auf „Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf“ macht, löst damit die Infektion aus.
Ein Entschlüsselungstool für GandCrab
Bitdefender hat im Oktober sein kostenloses Entschlüsselungstool für GandCrab-Opfer aktualisiert und auch mit der Version 5.0.3 kompatibel gemacht. Laut Bitdefender gibt es aktuell zwei Untervarianten von GandCrab 5.0.4. Mit einer davon soll das Tool funktionieren – wer in die Falle gelaufen ist, sollte es in jedem Fall ausprobieren.