Wie bereits in unserem Fachbeitrag erwähnt, halten viele Nutzer einen Mailanhang im PDF Format für sicher. Dies ist jedoch ein Trugschluss, denn PDF Dateien können Java Script enthalten. Dies ist eine Scriptsprache, mit der man ausführbaren Code in eine PDF ablegen kann. Der Dateiname bleibt auch "dateiname.pdf" nicht etwa "dateiname.pdf.exe ", was ja auch schon häufig für die Verteilung von Viren genutzt wurde.

In den jetzt gefundenen Fällen wird durch ein Java Script ein eingebettetes Word Macro aktiviert, das wiederum Schadcode nachläd und ausführt. Hierbei treffen wir auf alte Bekannte wie Locky oder Jaff, deren Verschlüsselung bislang noch nicht wieder rückgängig gemacht werden konnte. Das heißt, einmal durch diese Schadsoftware verschlüsselte Daten sind bislang verloren. 

Aber es gibt Abhilfe:

1. Kann man Anhänge (und auch sonstige Dateien) auf die Webseite www.virustotal.com zum Prüfen hochladen, hier durchsuchen etwa 60 aktuelle Scanner die Datei.

2. Bei der jetzt gefundenen Variante muss der Nutzer den Start des Makros bestätigen (generell sollte die Ausführung von Makros in Officeprodukten deaktiviert sein). Hier natürlich diese Nachricht nicht bestätigen.

3. Man kann es gar nicht oft genug sagen: Backups! Diese bitte nach dem Schreiben auf einen externen Datenträger vom Rechner trennen.