Soeben meldet die Sicherheitsfirma Cylance eine neue Variante der schon im April 2015 zum ersten Mal aufgetauchten Ransomware CrypVault. Angriffe mit LoveCrypt werden mit einem E-Mail-Anhang, der angeblich den Lebenslauf eines Bewerbers enthält. Diese Art der Verbreitung führt offenbar immer wieder zu Infektionen in Unternehmen.
Die Datei im Anhang der E-Mail ist vom Typ .CHM, vom Format her also eine Windows-Hilfedatei, die selbst wiederum verschiedene Dateien enthalten kann. Mit einem Doppelklick kann eine CHM-Datei auch JavaScript, VBScript oder ein PowerShell-Script ausführen.
Weil die Skripte außerhalb eines Browsers laufen, greifen wesentliche Sicherheitsvorkehrungen für die Schadroutinen in CHM-Dateien nicht. Das erklärt auch die Beliebtheit dieses Formats bei den Malware-Autoren.
Die Schadsoftware basiert wie schon ihr Vorgänger CrypVault ganz simpel auf Windows-Skriptsprachen. Aus diesem Grunde ist die Erpressungs-Software auch nur für Nutzer von Windows-Systemen gefährlich – wer mit Linux oder OS X arbeitet, kann sich also zurücklehnen…