Foto: zephyr_p - fotolia.de
Young Asian male frustrated, confused and headache by ransomware attack on desktop screen, notebook and smartphone, cyber attack and internet security concepts

IT-Sicherheit

30. August 2017

Neuer Word-Trojaner: Spionieren, verschlüsseln, erpressen

„Spora“ heißt die neueste Evolutionsstufe der Verschlüsselungstrojaner. Sie versteckt sich in Word-Dokumenten, verschlüsselt Computer und liest Passwörter mit.

Von Denny Gille
Denny Gille
Denny Gille

Redakteur handwerk.com

sucht in seinen Gesprächspartnern und Betrieben immer nach dem gewissen Etwas. Lässt sich am liebsten von cleveren Chefs, ausgefallenen Denkansätzen und neuen Ideen verblüffen.

Schwerpunkte: Digitalisierung und Strategie

Telefon (0511) 8550-2624

Verfasste Artikel

Auf einen Blick:

  • Das kann die neue Ransomware-Variante Spora: persönliche Daten verschlüsseln, Surfverhalten ausspionieren und Tastatureingaben wie Zugangsdaten mitlesen. Cyberkriminelle nutzen das, um die Opfer von Spora zu erpressen.
  • Gut getarnt: In der ersten Angriffswelle haben Virenprogramme die Attacke nicht erkannt.
  • So greift Spora an: Die Ransomware steckt in einem gewöhnlichen Word-Dokument. Wer das öffnet und die obligatorische Sicherheitswarnung des Windows-Systems ignoriert, gewährt dem Trojaner vollen Zugriff.
  • Sicherheitsvorkehrungen: Auch bei den aktuellen Angriffen gilt: Spora braucht die Hilfe der Nutzer. Wer bei unaufgefordert zugesandten E-Mails Vorsicht walten lässt, Anhänge nicht öffnet, lässt die Angriffe ins Leere laufen.

Die erste Angriffswelle bemerkte das Antivirus-Unternehmen Deep Instinct vor einer guten Woche: Am 20. August 2017 schlug der Verschlüsselungstrojaner Spora bei seinen Opfern zu. Der Angriff dauerte mindestens 48 Stunden. Das Transportmittel: E-Mails. Sporas Tarnung: ein Word-Dokument.

Darin versteckte sich die Ransomware und wartete darauf, von seinem Opfer entfesselt zu werden. Fast jeder Virenscanner habe das Schadprogramm dabei anfänglich übersehen, berichtet Deep Instinct.

Neue Variante: Trojaner sammelt Zugangsdaten

Das Tückische an der neuen Spora-Version: Die Ransomware verschlüsselt nicht nur die persönlichen Daten ihrer Opfer, um für deren Freigabe ein Lösegeld zu erpressen. Zusätzlich sammelt Spora Informationen vom Online-Surfverhalten seines Ziels: Es speichert Cookies und Browser-Historie, kann den Zwischenspeicher auslesen. Und es liest Tastatureingaben mit!

Damit sei es dem Trojaner möglich, die Zugangsdaten seiner Opfer auszuspionieren – etwa, um den Datenschatz an Dritte zu verkaufen, schreibt das IT-Newsportal silicon.de. Für die Cyberkriminellen ist das zugleich ein weiteres Druckmittel bei der Erpressung der Ransomware-Opfer.

So infiltriert Spora seine Ziele

Die Ransomware Spora schlummert in einem gewöhnlichen Word-Dokument, das per E-Mail den Weg zu seinem Angriffsziel findet. Wird das Word-Dokument geöffnet, kann die Ransomware meist noch nicht aktiv werden, weil Windows sie blockiert.

Denn Spora steckt in einem Javascript-Programm, das in das Word-Dokument eingebettet ist. Um befreit zu werden, braucht das Programm die Mithilfe des Nutzers. Der Trick: Dem Opfer wird im Word-Dokument ein verschwommenes Bild angezeigt, das wie eine Rechnung aussieht.

Lesen kann man dessen Inhalt nicht. Stattdessen wird der Nutzer dazu aufgefordert, einen Doppelklick auf das Bild auszuführen. Als Nächstes folgt eine Sicherheitswarnung von Windows. Beispiel: „Möchten Sie diese Datei wirklich öffnen?“. Diese Warnung ist der letzte Schutz bevor die Ransomware freigelassen wird. Wer nun auf „ja“ klickt, öffnet dem Trojaner die Türen. Der Schaden nimmt seinen Lauf.

Sicherheitsvorkehrungen gegen Spora

Trotz der ausgeklügelten Angriffstechnik spielt laut Spora-Entdecker Deep Instinct vor allem die Aufmerksamkeit der Internetnutzer eine wichtige Rolle beim Schutz gegen den Trojaner. Die Sicherheitsregeln lauten:

  • Seien Sie besonders achtsam bei E-Mails und E-Mail-Anhängen, die Ihnen unaufgefordert zugesendet werden.
  • Verweigern Sie Inhalten aus nicht vertrauenswürdigen Quellen, auf Ihrem System ausgeführt zu werden. Das gilt wie im Fall von Spora auch für scheinbar harmlose Unterprogramme in Word-Dokumenten.

Auch interessant:

Handwerkerdaten verschlüsselt – Angriff auf die Cloud

Die große Freiheit verspricht Branchensoftware aus der Cloud. Schließlich kann man jederzeit, überall auf seine Daten zugreifen. Außer die Software wird angegriffen. Dann herrscht Chaos. Einigen Malern ist das passiert.
Artikel lesen

Die Anatomie der Passwörter – Cyberattacken verstehen, besser schützen

Millionen gehackter Nutzerkonten irren nicht: Gute Passwörter sind hierzulande Mangelware! Lesen Sie jetzt: Wie Hacker schlechte Passwörter atemberaubend schnell knacken – und wie Sie sich effizient und einfach dagegen schützen.
Artikel lesen

Anzeige

Frustriert von der Mitarbeitersuche?

handwerk.com und die Schlütersche helfen Ihnen Ihre offenen Stellen einfach, zeit- und kostensparend mit den richtigen Kandidaten zu besetzen! Mehr als 500 Betriebe vertrauen uns bei der Mitarbeitersuche!

Jetzt Bewerber finden!

Wir haben noch mehr für Sie!

Praktische Tipps zur Betriebsführung und Erfahrungsberichte von Kollegen gibt es dienstags und donnerstags auch direkt ins Postfach: nützlich, übersichtlich und auf den Punkt.
Melden Sie sich jetzt für unseren Newsletter an - schnell und kostenlos!
Wir geben Ihre Daten nicht an Dritte weiter. Die Übermittlung erfolgt verschlüsselt. Zu statistischen Zwecken führen wir ein anonymisiertes Link-Tracking durch.
Achtung bei befristeten Fahrerlaubnisklassen: Fahrer aus dem EU-Ausland müssen gegebenenfalls in Deutschland verlängern.

Fuhrparkrecht

Führerscheine aus dem EU-Ausland: Vorsicht bei Befristung

Wer ausländische Fahrer einstellt, muss bei befristeten Fahrererlaubnisklassen ganz genau hinschauen. Auch bei EU-Führerscheinen.

    • Fuhrpark
Verkürzte Abschreibung: Ob ein Gebäude noch nutzbar ist, muss künftig ein anerkannter Gutachter entscheiden.

Steuern

Kürzere Gebäudeabschreibung nur noch mit Gutachten

Nach immer mehr Anträgen auf verkürzte Gebäudeabschreibung hat das Bundesfinanzministerium nun die Regeln verschärft.

    • Steuern
Helfen Gerichte Steuersündern, wenn deren Plan misslingt? In diesem Urteil vertraten ein Landgericht und ein Oberlandesgericht dazu ganz unterschiedliche Auffassungen.

Recht

Ey Richter, hol mir mein Schwarzgeld zurück!

Geschäft schwarz abgewickelt, Geld verloren, vor Gericht gezogen: Helfen Richter so einem Steuersünder? Zwei Instanzen, zwei verschiedene Ausgänge.

    • Recht
Whatsapp will Unternehmen die gemeinsame Kommunikation mit Kunden erleichtern – mit einer Mehrfachnutzung eines Kontos.

Einfacher kommunizieren

Whatsapp für Betriebe: ein Konto, vier Nutzer

Künftig soll es möglich sein, mit verschiedenen Endgeräten über ein Whatsapp-Konto zu kommunizieren. Betriebe könnten im Arbeitsalltag davon profitieren.

    • Digitalisierung + IT