Ein Verschlüsselungstrojaner hat seit Dienstag die IT-Systeme von drei unterfränkischen Firmen lahmgelegt, berichtete das Polizeipräsidium Unterfranken am Donnerstag. Offenbar seien die Trojaner mittels einer Bewerbungs-E-Mail eingeschleust worden. Die Kriminalpolizei ermittelt nun wegen Computersabotage und versuchter Erpressung.

Als ein Mitarbeiter einer Firma in Goldbach (Lkr. Aschaffenburg) am Dienstag bei einer als Bewerbung getarnten E-Mail die Anhänge öffnete, wurde der Bildschirm schwarz und es erschien ein Totenkopf mit orangefarbenem Hintergrund. Sämtliche Daten auf der Festplatte waren verschlüsselt. Zur Freischaltung sollten 360 Dollar „Lösegeld“ bezahlt werden.

Eine gleichartige Bewerbungs-E-Mail ging am Mittwoch bei einer Firma in Hösbach (Lkr. Aschaffenburg) ein. In diesem Fall kam es zwar zu keiner Lösegeld-Forderung, allerdings wurden durch die Schadsoftware ebenfalls sämtliche Daten auf dem Firmenrechner verschlüsselt. Am Mittwochmorgen öffnete ein Mitarbeiter eines Autohauses im nordöstlichen Landkreis Würzburg eine Bewerbungs-E-Mail mit Anhängen. Dadurch wurde das gesamte Firmen-Netzwerk lahmgelegt.

„GoldenEye“ folgt „Petya“

Ersten Erkenntnissen zufolge dürfte es sich in allen Fällen um den Verschlüsselungstrojaner „GoldenEye“, eine Weiterentwicklung des Trojaners „Petya“, handeln. Im Anhang der als Bewerbung getarnten E-Mails befinden sich in der Regel zwei Dateien: eine Excel-Datei (Blume mit Arbeitsamt-Logo) und eine PDF-Datei (ausformulierte Bewerbung mit Erreichbarkeit).

Öffnet der Empfänger die angehängte Exel-Datei, wird er im Dokument darum gebeten, die Bearbeitungsfunktion des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Tut man dies und erlaubt dem Programm so, Makros durchzuführen, wird die Verschlüsselung eingeleitet. Im Anschluss erscheint die Lösegeld-Forderung.

Um sich vor Schadsoftware zu schützen, rät die Unterfränkische Polizei, niemals ungeprüft Dateianhänge zu öffnen. Im Zweifel solle man beim Absender nachfragen. Außerdem solle man niemals Links in unaufgefordert zugesandten E-Mails anklicken. Diese könnten auf infizierte Webseiten leiten, was zu einem unbemerkten Download der Schadsoftware führe.

Datendesaster in Dettelbach

Vorsicht sei auch in sozialen Netzwerken geboten, so die Polizei. Sie empfiehlt, angeblich aufsehenerregende Videos oder andere Mitteilungen - auch wenn diese von Freunden empfohlen wurden - lieber nicht anzuklicken.

Bundesweite Aufmerksamkeit hatte Anfang Februar 2016 eine Trojaner-Attacke auf das Computer-Netzwerk der Stadt Dettelbach (Lkr. Kitzingen) erregt. Eine über einen E-Mail-Anhang eingeschleuste Schadsoftware – damals handelte es sich um den Erpresser-Trojaner „TeslaCrypt 3.0“ – hatte sich im Netzwerk der Stadt Dettelbach verbreitet, die Daten verschlüsselt und damit das komplette System lahmgelegt. In der Folge wurden Sicherungsdaten gelöscht und damit unbrauchbar. Erst nach der Zahlung von rund 500 Euro, quasi Lösegeld, konnte mit einem Entschlüsselungsprogramm zumindest ein Teil der Daten gesichert werden. Der Rest musste manuell wiederhergestellt werden. Ein Schaden, der sich auf mehr als 200.000 Euro belief.