Betrügerische E-Mails von „Peter Reif“

Derzeit macht eine sehr gefährliche Bewerbung von „Peter Reif“ die Runde, deren Öffnung das Freilegen eines Virus nach sich zieht. Eine hohe Lösegeldforderung wird dann gestellt, um den Zugang zu den eigenen zurück zu erhalten.  Der Namen in den Mails verändert sich  z.B. in „Peter Schnell“, „Caroline Schneider“ und „Viktoria Henschel“.  Wer das Archiv entpackt und die darin enthaltene Datei öffnet, holt sich einen Windows-Erpressungstrojaner auf den Computer, der Dateien verschlüsselt und erst nach einer Lösegeld-Zahlung wieder freigeben will. Dem Online Analysedienst Virustotal zufolge handelt es sich dabei um die Ransomware GandCrab 5.0.4.

Die Mail ist in sauberem Deutsch formuliert und im Anhang der Mail befindet sich ein passwortgschütztes RAR-Archiv, in dem sich die Datei „Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe“ befindet. Das Kennwort für das Archiv findet sich in der Nachricht.

Die Drahtzieher der Kampagne haben ein Passwort vergeben, damit Virenscanner nicht in das Archiv gucken können. Die können das nämlich nur, wenn man ihnen das Kennwort für ein geschütztes Archiv mitteilt. Derzeit stufen auf Virustotal lediglich zwei von 68 Scannern das Archiv als gefährlich ein.

Da Windows in der Standardeinstellung bekannte Dateiendungen (.exe) ausblendet, sieht es so aus, als handelt es sich um ein PDF-Dokument. Es ist aber immer noch um eine ausführbare Datei. Wer doppelt auf „Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf“ klickt löst die Infektion aus.