Vorsicht: Spam mit Malware für .de-Domains im Umlauf

Vorsicht: Spam mit Malware für .de-Domains im Umlauf

Mit einem Trick versuchen Cyber-Kriminelle erneut Schadsoftware auf den Rechnern von Nutzern zu installieren. Dazu benutzen sie gefälschte Mails, die angeblich von STRATO kommen.

Viele unserer Kunden bekommen dieser Tage eine E-Mail mit einem Hinweis auf eine gesperrte .de-Domain. Das sind Spam-Nachrichten von Cyber-Kriminellen, die versuchen eine Schadsoftware auf Euren Rechnern zu installieren. Dabei handelt es sich um den Trojaner „CryptoWall“. Er blockiert das System durch Verschlüsselung und versucht vom Anwender Geld zu erpressen. Hauptziel sind dabei Benutzer von Windows-PCs.

Erpresser-Mails erkennen

Die Spam-Mails kommen angeblich von STRATO oder dem Tochterunternehmen Cronon AG. Sie enhalten einen Link zu einem PDF-Dokument. Die E-Mails folgen dem Muster, wie es auf diesem Screenshot zu sehen ist:

Ein Beispiel für eine Spam-Mail, getarnt als offizielle Mail von STRATO oder der Tochter Cronon.
Ein Beispiel für eine Spam-Mail, getarnt als offizielle Mail von STRATO oder der Tochter Cronon.

Nach einem Klick auf den Link, wird im Hintergrund die Schadsoftware installiert. Klicke deshalb auf keinen Fall auf den Link! Solltest Du eine E-Mail zu einer angeblich gesperrten Domain erhalten, lösche sie sofort und ignoriere sie. Du erkennst die Spam-Nachricht am Text und der gefälschten Absender-Adresse. Die Betrüger nutzen dazu abuse@strato.de.bc oder ähnliche Bezeichnungen.

CryptoWall: Link angeklickt und in die Falle gegangen

Für Anwender, die auf den Link geklickt haben, gilt: Ruhe bewahren und eventuellen Forderungen der Online-Kriminellen nicht nachkommen. Wir empfehlen folgende Schritte:

  1. Deaktiviere die Internet-Anschlussverbindung für den befallenen Rechner. Damit verhinderst Du, dass die Schadsoftware sich ausbreitet.
  2. Um verschlüsselte Rechner zu entsperren, gibt es verschiedene Tools wie z. B. Kaspersky Ransomware Decryptor. Da die Cyber-Kriminellen die Methoden ständig verändern und verfeinern, funktionieren die Tools zum Entsperren in einigen Fällen nicht.
  3. Wenn Du sicher gehen möchtest, sichere deshalb alle Daten vom befallenen Rechner auf ein externes Medium (DVD, USB-Stick oder Festplatte). Nutze dazu eine Backup-Lösung, die von DVD oder USB-Laufwerk startet und nicht das befallene System nutzt. Neben Dokumenten solltest Du auch folgende Daten speichern:
    • E-Mail-Daten
    • Adressen und E-Mail-Kontakte
    • Favoriten im Webbrowser
    • Kalendereinträge
  4. Nach der Sicherung aller Daten, installierst Du das System komplett neu. Spiele dann die Daten zurück. Nach der Installation und Neueinrichtung des E-Mail-Programms suchst Du alle Spam-Mails und löschst sie. Wenn Du Unterstützung bei der Neuinstallation Deines Rechners benötigst, suche Dir Unterstützung bei Experten in Deiner Nähe.

Spam vermeiden und Fallen entgehen

Die wichtigste Hilfe, um Online-Betrügern nicht ins Netz zu gehen: eine gesunde Portion Misstrauen. Prüfe genau, ob die Absender-Adresse stimmt und ob die Forderungen Sinn ergeben. Ein Anruf beim Kundenservice von STRATO bringt Klarheit über die Echtheit von Mails, um gefährliche Situationen zu verhindern.

Wichtig auf jeden Fall: Benutze eine aktuelle Internet-Sicherheitslösung. Die verhindert Angriffe durch Viren bzw. Trojaner und schützt vor Identitätsdiebstahl. Das gilt nicht nur für den PC, sondern auch für mobile Geräte wie Smartphones und Tablets.

Unerwünschte Nachrichten automatisch aussortieren

Wenn Du E-Mails mit Programmen wie Microsoft Outlook oder Mozilla Thunderbird liest, solltest Du sicherstellen, dass die E-Mails beim Eingang durch das Sicherheitspaket gescannt werden. Die Programme erkennen Bedrohungen und blockieren potenzielle Nachrichten mit Schadsoftware. Sollten dennoch Spam-Mails im Posteingang landen, kennzeichne diese als „Spam“. Klicke die Mail mit dem rechten Mausknopf an und wähle im Menü die Spam-Option an. Das E-Mail-Programm merkt sich den Absender und verschiebt die ungewollten Nachrichten in den Ordner für unerwünschte Nachrichten.

Nutzer des STRATO Communicator im Webbrowser können ungewollte Post als Spam kennzeichnen. Verschiebe dazu die Nachrichten in das Verzeichnis „Spam“. Das System lernt auch hier und markiert potenzielle Spam-Nachrichten.

Der STRATO Communicator hat einen Ordner für Spam-Mails. Verschiebe diese dorthin.
Der STRATO Communicator hat einen Ordner für Spam-Mails. Verschiebe sie dorthin.

STRATO hat bei der Bekämpfung von Spam mit einer Forschungsgruppe zusammengearbeitet, die an der Humboldt-Universität Berlin, dem Max-Planck-Institut für Informatik und der Universität Potsdam tätig war. Gemeinsam wurde STRATO ServerSide AntiVirus und STRATO ServerSide AntiSpam entwickelt. Das AntiSpam-Modul lernt kontinuierlich dazu, um Spam intelligenter auszusortieren. Dieser Service ist in allen Hosting-Paketen inklusive.

Teilen

  1. Avatar

    Timo K. sagte am

    Weitere Phishing Mails dieser Art sind aktuell im Umlauf. Heute habe ich z.B. selbst folgende Email von „noreply@strato.net“ erhalten:

    Dear Customer,

    we inform you that the domain [URL to domain], to which this email account is linked,
    will expire on 14/12/2019.
    We wish to remind you that, if the domain is not renewed by this date,
    these and all associated services,
    including mailboxes will be deactivated and can no longer be used for sending and receiving.

    HOW CAN I RENEW THE DOMAIN?

    The Strato customer who has the login and password to access the domain,
    can renew it by simply placing an order online.

    RENEWTHE DOMAIN
    [Button with link to a URL rated as „unsafe“ by outlook]

    _____________________________________________
    Chairman of the Supervisory Board: Rene Obermann
    Board: Dr. Christian Being (Chair),
    Christoph Steffens, Rene Wienholtz
    District Court Berlin-Charlottenburg HRB 79450

    Antworten
  2. Avatar

    Ilona Scheede sagte am

    Ich bin kein „WebSite“-Profi und betreu in unserer kleinen Firma die Webseiten nur insoweit inhaltliche Aktualisierungen nötig sind. Bereits 2018 wurden beide Webseiten durch Euer Sicherheitssystem gesperrt und trotz viel Mühe und zusätzlichen Kosten (das mußten ich an einen Profi weitergeben) waren wir über Wochen nicht präsent. In diesem Jahr dasselbe- und diesmal ist es nach meiner Einschätzungoffensichtlich, dass die „Schwachstelle“ in Ihrem Hause zu suchen ist. Wie sonst können an einem Tag (8.6.2019) in zwei getrennten Webseiten mit verschiedenen Einwahlkennungen „Änderungen“ (aus unserem Hause wurde seit Wochen nichts aktualisiert) vorgenommen werden und gleichzeitig alle Backups mit Datum vor diesen „Änderungen“ gelöscht werden- am 24.06. nach der Information zur Sperrung gab es keine Backups mit Datum vor dem 8.6.2019 mehr? Für die Wiederherstellung der Seiten benötigen wir wiederum Zeit und zusätzliche Kosten, auch ist mit negativen Folgen für Kundenwerbung- und Information zu rechnen. Ich bitte um eine Stellungnahme aus Ihrem Hause, der Verweis auf Sicherheitslücken Überall nur nicht bei STRATO ist mir hier zu mager.

    Antworten
    • Avatar

      Oliver Meiners sagte am

      Hallo Ilona,

      ich habe leider keinen Einblick in Deinen konkreten Fall. Bitte schicke uns eine Mail mit Deinen Kundendaten an blog@strato.de. Die Kollegen vom Kundenservice können sich das dann einmal für Dich ansehen.

      Viele Grüße
      Oliver

      Antworten
      • Avatar

        Ilona Scheede sagte am

        Hallo, Herr Meiner-
        Ihre Antwort nach der Zusendung meiner Daten und deren Auswertung durch Sie kann mich leider nicht befriedigen.
        Wie ich Ihnen erklärte, waren nach dem Virenbefall beider in Ihrem Haus verwalteten Webseiten alle älteren Backus gleichzeitig gelöscht so wurde eine problemlose Wiederherstellung unmöglich. Auch die Aussage, Backus wurden nur über 3 Wochen in Ihrem Hause abgelegt kann ich nicht nachvollziehen- in der Strato-Website wird mit 4 Wochen geworben, dies kann also nicht die Ursache für die nicht mehr vorhandenen Backups nach dem „Hackerangriff“ oder „Virenbefall“ sein…

        Antworten
        • Avatar

          Michael Poguntke sagte am

          Hallo Frau Scheede,

          weder ich noch mein Kollege haben Zugriff auf die konkreten Daten unserer Kunden. Aus diesem Grund können wir Ihnen über den Blog leider nicht weiterhelfen – hier ist und bleibt der Kundenservice Ihre erste Anlaufstelle. Bitte antworten Sie entsprechend auf die E-Mail an blog@strato.de und schicken Sie die hier geschilderten Details mit. Unsere Experten schauen sich das an und Antworten ihnen gerne.

          Grundsätzlich haben wir keinen Zugriff auf den Webspace unserer Kunden, auf dem die Website liegt. Entsprechend ist ausgeschlossen, dass wir selbst Backups gelöscht haben. Wie Sie selbst Backups Ihrer Website anlegen und wiederherstellen, erklären wir unter https://www.strato.de/faq/hosting/so-einfach-koennen-sie-mit-backupcontrol-auf-ein-backup-ihrer-homepage-zugreifen/. Nur wenn genau diese Schritte befolgt werden, wir das Backup korrekt angelegt und kann wieder eingespielt werden. Auch den Zeitraum der automatischen Backups legen Sie in diesem manuell fest.

          Viele Grüße
          Michael

          Antworten
          • Avatar

            Ilona Scheede sagte am

            Nun, Herr Poguntke, leider gelang es Ihnen (wie ebenso im März 2018) nicht zu verhindern, daß auf die nur in Ihrem Hause vorhandenen Daten vor Angriffen geschützt sind. „So-einfach-können-Sie mit-backupcontrol-auf-ein-backup-Ihrer-Homapage-zugreifen“ nachdem „Durch-einen-Bösewicht“ sowohl die Hompages unbrauchbar gemacht als auch die Backups mit den „intakten Daten“ gelöscht wurden. Ich war nie davon ausgegangen, saß diese Attacken von Mitarbeitern Ihres Hauses erfolgten, indes schon daß nach dem Vorfall 2018 nunmehr ausreichend Vorsorge getroffen wurde, solche „Pannen“ zu verhindern. Wer, wenn nicht Sie ??

          • Avatar

            Michael Poguntke sagte am

            Hallo Frau Scheede,

            bei allem Verständnis für Ihren Unmut muss ich Ihren Aussagen widersprechen: Uns bei STRATO liegen die Zugangsdaten unserer Kunden zu keiner Zeit im Klartext vor. Mit anderen Worten: Niemand außer dem Nutzer selbst kennt sein Passwort, auch keiner unserer Mitarbeiter.

            Wenn es zu einem unberechtigten Zugriff kam, dann ist dieser durch eine dritte Person geschehen, zum Beispiel einen Angreifer, dem gelungen ist, das Passwort zu erraten. Ebenfalls denkbar ist, dass über eine Phishing-Mail o. ä. die Zugangsdaten an unberechtigte Dritte gelangt sind. Durch den oben beschriebenen Sachverhalt (wir kennen die Passwörter unserer Kunden nicht) ist nicht davon auszugehen, dass einer unserer Mitarbeiter Zugriff zu Ihrem Webspace hatte.

            Viele Grüße
            Michael Poguntke

  3. Avatar

    Michael Mueller sagte am

    Hallo,
    gerne schicken mir die Leute eine Mail, damit sie automatisch blockiert werden. Willst du auch? Kannst mir gerne hier schreiben: […]

    Zum Artikel:
    Das Problem kenne ich mit eigenen Blogs/Webseiten von Vereinen ebenfalls. Zur Bekämpfung habe ich mehrere eigene Scripte geschrieben und führe eine eigene Abuse Datenbank.
    Durch Spamfallen versuche ich zusätzlich Spammer anzulocken und somit weitere Spammer blockieren zu können. Aus diesem Grund fange ich Kommentare gerne mit einer solchen Mail-Adresse an.
    N’Abend Thomas Wolf

    Antworten
    • Avatar

      Michael Poguntke sagte am

      Hallo Michael,

      ich war so frei und habe Deine Mailadresse zensiert, da wir keine personenbezogenen Daten in diesem Block öffentlich zulassen. Besten Dank in jedem Fall für Deinen Beitrag an dieser Stelle.

      Viele Grüße
      Michael

      Antworten
  4. Avatar

    Hermann Faß sagte am

    Zur Information – ich nehme an, das kommt nicht von Ihnen, sondern ist in betrügerischer Absicht verschickt.
    Die kompletten Header klebe ich unter die weitergeleitete Nachricht.

    Hermann Fass

    See More from Strato

    Header der Original-Nachricht:

    To: info@webfuersorge.de
    X-Envelope-From: ⁨⁩
    Mime-Version: ⁨1.0⁩
    ⁨⁩
    Content-Type: ⁨text/plain; charset=“utf-8″⁩
    Content-Transfer-Encoding: ⁨quoted-printable⁩
    Return-Path: ⁨⁩
    X-Uid: ⁨21827⁩
    X-Envelope-To: ⁨⁩
    X-Delivery-Time: ⁨1539096410⁩
    X-Strato-Messagetype: ⁨email⁩
    X-Rzg-Expurgate: ⁨bulk/normal⁩
    Received: ⁨from gandi.net (host200-212-36-89.static.arubacloud.fr [89.36.212.200]) by smtp.rzone.de (RZmta 44.2 OK) with ESMTP id a05ce7u99EknGS2 for ; Tue, 9 Oct 2018 16:46:49 +0200 (CEST)⁩
    Received: ⁨from clompany.com (unknown [127.0.0.1]) by gandi.net (Postfix) with ESMTP id B7A5080B85 for ; Tue, 9 Oct 2018 09:45:45 -0500 (CDT)⁩
    X-Rzg-Class-Id: ⁨mi07⁩
    X-Rzg-Expurgate-Id: ⁨149500::1539096409-000078E8-1C9F58C8/3/6038422285⁩
    Received-Spf: ⁨none client-ip=89.36.212.200; helo=“gandi.net“; envelope-from=“noreply@webfuersorge.de“; receiver=smtp.rzone.de; identity=mailfrom;⁩
    Authentication-Results: ⁨strato.com; dmarc=none header.from=webfuersorge.de⁩
    Authentication-Results: ⁨strato.com; arc=none⁩
    Authentication-Results: ⁨strato.com; dkim=none⁩
    Authentication-Results: ⁨strato.com; dkim-adsp=none header.from=“noreply@webfuersorge.de“⁩
    Authentication-Results: ⁨strato.com; spf=none smtp.mailfrom=“noreply@webfuersorge.de“⁩

    Antworten

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.