Es ist ein Satz, der sofort misstrauisch machen sollte: "Bitte laden Sie Microsoft Word-Anhang herunter und betrachten Sie ihn." Erstens erhält er einen Grammatikfehler - unüblich für seriöse Dienstleister. Zweitens fordert er explizit zum Herunterladen und Öffnen eines Anhangs auf - noch deutlicher können Kriminelle kaum sagen: "Achtung, das ist ein Virus."
Wie viele Menschen diese offensichtlichen Warnsignale ignoriert haben, ist nicht bekannt. Klar ist nur: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor einer Flut gefälschter E-Mails, die ein vermeintliches Fax enthalten. "Aktuelle Spam-Kampagne mit gefälschten eFax-Benachrichtigungen zur Verbreitung der Ransomware Buran", schreibt das BSI auf Twitter. "Nicht den darin enthaltenen Link anklicken!"
Diese Schadsoftware verschlüsselt Dateien auf dem infizierten Rechner und verlangt dann ein Lösegeld (englisch: "ransom"). Die Erpresser versprechen, die Dateien wieder zu entschlüsseln, sobald der Betrag überwiesen wird. Oft passiert jedoch gar nichts - dann sind Geld und Dateien weg.
Auf keinen Fall Makros aktivieren
Experten raten fast immer davon ab, das Lösegeld zu überweisen. Nur in Ausnahmefällen kann es sich für Unternehmen oder Behörden lohnen, mit den Kriminellen zusammenzuarbeiten. Ob hinter Buran "ehrliche" Erpresser stecken, die sich an ihr Versprechen halten, ist bislang unklar. Statt Lösegeld zu bezahlen, sollten betroffene Nutzer mit dem BSI Kontakt aufnehmen und sich beraten lassen. Dafür gibt es den Dienst BSI für Bürger, der telefonisch und per E-Mail erreichbar ist.
Die E-Mails mit dem Trojaner Buran stammen vom Absender efax(at)efaxdeliver.site und tarnen sich als Nachricht des eigentlich seriösen Dienstleisters eFax, mit dem sich online Faxe verschicken lassen. "Sie haben am Donnerstag, 01.10.2019, ein einseitiges Fax erhalten", beginnt die E-Mail, die auch in der SZ-Redaktion ankam. Es folgt eine angebliche Referenznummer und ein Satz mit vielen Fehlern und wenig Sinn: "Bitte besuchen Sie www.efax.eu/faq, wenn Sie Fragen zu dieser Nachricht haben oder Ihre Dienstleistung" (sic!). Der Link zu dem FAQ führt zur echten Efax-Webseite, die E-Mail-Adresse hingegen hat mit der echten Firma nichts zu tun.
Die angehängte DOC-Datei fordert dazu auf, die Bearbeitung zu aktivieren. Standardmäßig sperrt Word die Bearbeitung von Dokumenten, die einer E-Mail angehängt waren oder aus dem Netz heruntergeladen wurden. Wer diese Schutzfunktion außer Kraft setzt, ermöglicht die Ausführung sogenannter Makros. Damit wird Schadsoftware nachgeladen, die dann den Rechner infiziert.
Schadsoftware auch im Kammergericht Berlin
Was passiert, wenn man solche E-Mails öffnet, muss aktuell das Berliner Kammergericht erfahren. 150 Richter und 370 Mitarbeiter sind seit vergangenem Freitag weitgehend offline. "Das Kammergericht ist bis auf Weiteres nur telefonisch, per Fax und postalisch zu erreichen", teilt die Pressestelle mit. Einem internen Schreiben zufolge handelt es sich bei dem Schädling, der das höchste Berliner Gericht lahmlegt, um Emotet. Ende September hatte das BSI vor diesem Trojaner gewarnt und geschrieben: "Viele dieser Schäden sind vermeidbar, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden!"
Zu diesen Sicherheitsmaßnahmen, die für Unternehmen, Behörden und Nutzer gleichermaßen gelten, gehören regelmäßig Datensicherung und Software-Updates für Betriebssystem, E-Mail-Programm, Browser und Office-Anwendungen. Nutzer sollten Sicherheitsupdates deshalb nicht wegklicken, sondern schnell installieren. Und falls das nicht hilft: Wer ein aktuelles Backup-hat, den trifft ein Trojaner nur halb so hart. Auf seiner Webseite gibt das BSI für Bürger weitere Tipps, um vorzubeugen und den Schaden gering zu halten.
