Seit Anfang der Woche ist wieder ein Krimineller auf den Zug aufgesprungen und versendet nun anstatt einer Rechnung, gleich die letzte Mahnung inklusive des Trojaners: Trojan-Droper.Win32.Injector.frow.

Die Mail sieht so aus:

Hallo,

bei der Durchsicht der Zahlungseingänge stellten wir fest, dass Sie die Rechnung Nummer 2312-2012 noch nicht beglichen haben.

Artikel: Leica F0W5B 353,60 Euro
Hiermit fordern wir Sie so schnell wie möglich, Ihre offene Rechnung zu begleichen und damit weitere juristische Kosten einzusparen.
Wir sehen uns gezwungen Ihnen 20,00 Euro zuzüglich zu der noch offenen Forderung als Mahnung in Rechnung stellen.

Wir bitten Sie, die nicht bezahlte Rechnung bis zum 05.09.2012 auf das angegebene Konto zu übersenden.
Der Überweisungsschein und die Lieferadresse liegen diesem Brief als Kopie bei.

Mit verbindlichen Grüßen

SchreiberOnlineShop GmbH Augsburg
Leiter: Carolin Ziegler
Umsatzsteuer-Nr.: DE157974271

Im Anhang der Mail, mit dem Namen ” Zweite Mahnung.03.09.2012 (476Bytes) befindet sich der Trojan-Droper.Win32.Injector.frow. Wie zu erwarten hat Kaspersky diesen schon sofort gefunden, noch bevor ich die vermeintliche Rechnung öffnen konnte.

Die Familie der Trojan-Droper.Win32-Injector gehören zu der Gattung der Verschlüsselungs-Trojaner, die vor kurzer Zeit auch als BKA-Virus oder UKAsh-Virus das Leben der Internet-Gemeinde in Atem gehalten hat. Hier ist also besondere Vorsicht angesagt, da die Verschlüsseungs-Viren die ganze Festplatte verschlüsseln können und eine Entschlüsselung meistens als sehr kompliziert anzusehen ist.
Eine einfache Desinfektion des Systems bringt hierbei keinen nennenswerten Erfolg, da der Virus/Trojaner dann zwar vom System entfernt wurde, aber die Daten der Festplatte noch immer verschlüsselt sind und mit Entfernen des Virus auch oftmals der notwendige Wiederherstellungs-Schlüssel.

In der Regel wird der Virus nach dem ersten Ausführen aktiv und droht dem Benutzer mit gefälschten Warnungen und Fehlermeldungen um den User zu zwingen das System neu zu starten; und dann kann der Virus seine Arbeit fortsetzen