Gefährliche Office-Trojaner vermeiden

Auch wir von der Redaktion sind in den letzten Tagen vermehrt auf schlecht gemachte Phishing-Rechnungen mit Word-Anhängen gestossen. Offenbar haben sowohl die Kobik als auch die Melani nun zahlreiche Rückmeldungen erhalten. Dabei handelt es sich um einen Versuch, Ransomware zu verbreiten. Der Inhalt kann variieren, der Rechnungsbetrag ebenfalls. Meist befindet sich eine Word-Datei im Anhang, die, einmal geöffnet, eine Schad-Software herunterlädt. Der Makro-Trojaner ist in der Lage, Dateien des PCs oder Dateien von PCs im selben Netzwerk zu verschlüsseln. 

Vermehrt schädliche Office Dokumente im Umlauf: https://t.co/8qY3YkW8gH pic.twitter.com/fcC2l4kvJG

— GovCERT.ch (@GovCERT_CH) July 8, 2016

Makro-Codes sind Programme, die bestimmte Aufgaben unter Office automatisieren. Wenn Sie das Einfallstor nicht sperrangelweit offen lassen wollen, konfigurieren Sie Word und Outlook am besten so, dass Makro-Codes nicht ohne Nachfrage ausgeführt werden. Gehen Sie dabei wie folgt vor:

1. Öffnen Sie Outlook. Bei Outlook 2010/2013 klicken Sie oben auf Start.

2. Öffnen Sie die Optionen, dann das Trust Center (Sicherheitscenter) bzw. die Einstellungen für das Trust Center.

Klicken Sie auf Einstellungen für das Trust Center. Öffnen Sie links aus der Auswahl die Makroeinstellungen.

Sie können nun eine geeignete Auswahl vornehmen. Wenn Sie z.B. als Otto Normalanwender ohnehin keine Makros brauchen, empfehlen wir die Einstellung Alle Makros ohne Benachrichtigung deaktivieren. Wenn Sie oft mit Makros hantieren, eignet sich eher die Einstellung Benachrichtigungen für alle Makros. So werden Sie jedes Makro einzeln autorisieren müssen.

Diese Einstellungen sollten Sie am besten im gleichen Verfahren auch für Word und Excel vornehmen. Leider bietet Office hierfür keine globalen Einstellungen.

Wenn der Rechner bereits infiziert ist, hilft nur noch eines: Trennen Sie den PC sofort vom Netzwerk, um eine Verbreitung der Schad-Software zu verhindern. Eine Systemwiederherstellung ist leider nicht möglich. Es empfiehlt sich eine saubere Neuinstallation. Die Daten sind dann leider verloren, sofern Sie zuvor nicht regelmässig Backups vorgenommen haben. Zahlen Sie aber keinesfalls den Erpressern Geld. Es ist nicht gesagt, dass Versprochenes gehalten wird. Man kann in einem solchen Fall höchstens warten. Nach einer gewissen Zeit werden manchmal die Verschlüsselungsalgorithmen gefunden.

Allgemein empfehlen sich natürlich – wie immer – die üblichen Sicherheitsvorkehrungen. Dazu gehören regelmässige Daten-Backups und aktuelle Schutzprogramme. Inbesondere Betriebssystem, Office, Browser und Plug-Ins sollten laufend aktualisiert werden. Öffnen Sie grundsätzlich keine Dateianhänge von Mails, bei deren Vertrauenswürdigkeit auch nur die geringsten Zweifel bestehen. Weitere Tipps im Umgang mit E-Mail-Schadsoftware fasst Melani auf dieser Seite zusammen.