Vorgehensweise bei EMail-Anhängen

Hier mal eine bebilderte Vorgehensweise bei EMail-Anhängen am Beispiel von Thunderbird und einem Ukash-Erpresservirus:

Email mit Zip-Anhang, Anhänge nie öffnen, sondern speichern!

Eine nette EMail flattert mir ins Haus und bittet mich um 870 Euro - komisch von der Hoffmann GmbH hab ich bis dato noch nie etwas gehört, aber vielleicht hat ja mal wieder jemand aus der Familie was bestellt ohne mir bescheid zu sagen....
Im Anhang sollen also Vertragskopie und Ausweiskopie sein, naja, mal sehen...
Ich speichere die Datei also erstmal ab.

Speicherdialog von Thunderbird

 Danach wird dieses Zip-Archiv erstmal fein säuberlich entpackt und siehe da

Inhalt der ersten Zip- Datei

Per rechtsklick entpacken (hier mit Winrar)

sie enthält tatsächlich ein Bild von einem fremden Ausweis - na ob das Herrn Franz-Alfred S. aus Stadtlohn gefällt? Egal ebenso ist eine weitere Zip-Datei enthalten. Auch die wird einfach per Rechtsklick entpackt.

Inhalt der 2ten Zip-Datei

Oha, was haben wir denn da? Das ist kein Text, kein Dokument, keine Tabelle und kein PDF - es ist eine ausführbare Datei (Das ist eigentlich schon der Beweis, daß es sich um einen Virus handelt, aber ich wills genau wissen). Wer sich nicht sicher ist kann HIER nachschauen ob das stimmt. Natürlich hab ich bei meinem Windows immer die Option Dateiendungen anzeigen an.

kleiner Exkurs um diese Einstellung vorzunehmen (Beispiel Windows 7, die anderen gehen aber sehr ähnlich):

1. Computer (Arbeitsplatz) auf dem Desktop oder im Startmenü öffnen

2. Menü Extras - Ordneroptionen wählen

3. Karteireiter Ansicht wählen

4. Haken entfernen bei Erweiterungen bei bekannten Dateitypen ausblenden

5. alles mit OK bestätigen und schließen

Zurück zu unserer Mail:

zur Sicherheit umbenennen

erstmal wird die Datei umbenannt und ein z.B. .xxx hinten anghängt (Warnung von Windows ignorieren), damit ich Sie nicht doch aus versehen starten kann :)

Dann geh ich mal schnell ins Netz und lade die Datei bei Viros Total hoch und lasse sie von dem Dienst scannen.

VirusTotal mit hochgeladener verdächtiger Datei

Das Ergebnis ist das welches ich erwartet hatte,

Ergebnisauszug

die Datei ist einer dieser Ukash-Erpresser, wie sie im Moment oft im Umlauf sind. Noch nicht alle Virenscanner kennen das Teil, aber die großen erkennen sie und das reicht mir.
Ergebnis: Mail gefälscht, Inhalt Virus, alles weg!

Erpresserviren und andere Schädlinge

Lange Zeit versuchten Virenschreiber ihre Malware per EMail unter die Leute zu bringen, in gebrochenem Deutsch versuchte man den Empfänger zu überreden den Dateianhang der Mail zu öffnen und damit natürlich das eigene System zu infizieren. Auch dank der Medien entwickelte sich nach und nach ein Bewußtsein dafür, daß diese Anhänge gefährlich sein könnten und die Virenschreiber suchten sich andere Wege zur Verbreitung. Nun, heute sind die Antivirenprogramme besser, auf jedem System und immer am mitlaufen, der Rechner und alle entscheidenden Programme sind stets aktuell - was soll da noch passieren?! Der Nutzer ist also faul geworden und EMailanhänge werden wieder ohne Zögern einfach geöffnet. Dabei waren allein im April etwa 2,8% aller EMails mit Viren belastet. Statistisch betrachtet sind das allein bei mir 2 bis 3 Viren am Tag. Die Folge daraus ist, daß gerade heute immer mehr Menschen von z. B. den UKash - Erpresserviren betroffen sind.

Trojaner-Board.de befaßt sich schon länger mit den UKash-Viren.

Die ersten Varianten dieser sog. RansomWare ließen sich auch noch einfach entfernen und der Schaden rückgängig machen, die aktuelleren dagegen verschlüsseln die Kopfzeilen Ihrer Dateien ohne Aussicht auf die Möglichkeit zum Entschlüsseln zu Lebzeiten! Ein gutes EMail-Programm warnt übrigens nicht ohne Grund davor einen Anhang zu öffnen. Altes und neues Gebot der Stunde ist also:

Niemals EMail-Anhänge sofort öffnen!

Das gilt für ALLE EMails, die von Banken, die von Ihrem Internetanbieter, die von Ihrem besten Freund - EMails sind so leicht fälschbar wie ein weißes Blatt Papier!
Was also sonst? Sollte der Anhang wirklich so verlockend sein, daß Sie ihn öffnen wollen, so beachten sie einfach ein paar goldene Regeln.

1. Seien Sie Mißtrauisch! Lesen Sie sich den Inhalt der Mail nochmal genau durch. Haben Sie wirklich bestellt, sind Sie wirklich Kunde des vermeintlichen Absenders, ist der richtige Zeitpunkt für eine Rechnung, haben Sie den Anhang angefordert?
2. Achten Sie auf persönliche Anrede mit Namen (Mail für 'Anna' - Anrede 'Berta') und Kundennummern, achten Sie darauf, daß diese auch stimmen. Achten Sie auf die Rechtschreibung in der Mail.
3. Speichern Sie den Anhang ab (Speichern, nicht öffen!), achten Sie dabei auf falsche Benamung (Mail mit 'Mahnung' - Dateiname mit 'Ihre Bestellung'). Achten Sie BESONDERS auf ausführbare oder doppelte Dateianhänge - der letzte dreibuchstabige Anhang ist ausschlaggebend dafür, was Windows mit so einer Datei macht. Eine Liste mit Dateiendungen ausführbarer Dateien gibt es HIER. Es gibt keinen Grund Ihnen eine ausführbare Datei zu schicken - also einfach löschen (Datei und Mail)!
4. Aktualisieren Sie Ihren Virenscanner und scannen Sie den Anhang separat damit oder besser mit einem Online-Dienst wie VirusTotal oder Jotti - bei Verdacht löschen. Handelt es sich um eine gepackte Datei (z.B. mit der Endung .zip) so entpacken Sie diese vor dem Scannen (manche Viren kommen in gepackten Archiven um Virenscanner zu täuschen) aber führen Sie sie trotzdem nicht aus.
5. Warten Sie einen oder zwei Tage um neuere Updates Ihres Virenscanners zu bekommen und scannen Sie nochmal. Bei Mails von Freunden fragen Sie nach ob diese Ihnen tatsächlich diese Datei schicken wollten, das kostet nix und ist absolut verständlich.

Natürlich ist diese Form der Paranoia mühsam und aufwendig, aber es ist ungleich schwieriger und teurer sein System wieder von einem Schädling zu befreien. Besonders die UKash-Viren zerstören Daten unwiederbringlich!