Ransomware-Autoren nutzen zunehmend WSF-Dateien zur Verbreitung
Mit Windows Script Files (WSF) lassen sich mehrere Skriptsprachen in einer Datei kombinieren. Diese Dateien blocken bisher Mail-Programme und E-Mail-Provider kaum. Das nutzen Symantec zufolge Cyberkriminelle seit gut drei Monaten zunehmend aus.
Symantec hat in den vergangenen drei Monaten eine erhebliche Zunahme bei der Verbreitung von Ransomware mittels Windows Script Files (WSF) bemerkt. Während die Systeme des Unternehmens im Juni noch 22.000 E-Mails mit gefährlichen WSF-Anhängen feststellten, waren es im Juli rund 2 Millionen. Im September wurden von Symantec dann 2,2 Millionen gefährliche WSF-Anhänge entdeckt.
Das Unternehmen führt das in einem Bericht auch darauf zurück, dass bislang lediglich wenige E-Mail-Lösungen und E-Mail-Provider WSF-Dateien blockieren. WSF-Dateien ermöglichen es Programmierern, mehrere Skriptsprachen in einer Datei zu kombinieren. Sie starten üblicherweise wie ausführbare Dateien (EXE) oder Skripte in einzelnen Sprachen beim Anklicken unmittelbar und werden vom Windows Script Host (WSH) geöffnet.
Als Beispiel für eine Kampagne mit WSF-Dateien nennt Symantec eine E-Mail mit einer angeblichen Nachricht einer Fluggesellschaft. Von ihr fing Symantec Anfang Oktober binnen zwei Tagen mehr als 1,3 Millionen Exemplare mit dem Betreff “Travel Itinerary” ab. Im Anhang bringt die Mail innerhalb eines ZIP-Archivs eine als “wichtiges Dokument” bezeichnete WSF-Datei mir. Wird sie angeklickt, installiert sich jedoch die Ransomware Locky.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt professionelle Anwender und IT-Verantwortliche in Unternehmen, Behörden und anderen Institutionen mit einem Themenpapier. Darin wird über Ransomware informiert und finden sich Hinweise zum Umgang damit. Das Dokument beschreibt die auch aus Sicht des BSI verschärften Bedrohungslage durch Ransomware und Angriffsvektoren sowie mögliche Schäden. Es enthält aber auch konkrete Empfehlungen für Prävention sowie die Reaktion im Schadensfall.
[mit Material von Florian Kalenda,ZDNet.de]