Um Ransomware, Viren oder Spyware in die Systeme von Unternehmen und Organisationen einzuschleusen, sind Cyberkriminelle stets dabei neue Methoden zu entwickeln: Nun setzen sie auf eine simple, aber doch sehr effektive Vorgehensweise, wie ihre ausgelieferte Malware im Anhang einer E-Mail den Scan von Antivirenprogrammen umgehen kann. Das infizierte angehängte Dokument wird durch ein Passwort verschlüsselt, wodurch die Filtermechanismen von Antivirenprogrammen das dahinterliegende Schadprogramm nicht entdecken können.

Die aktuelle Bedrohungslage erfordert ein Update der bisherigen Filtermechanismen: „Malicious Document Decryption“ entspricht genau diesen Anforderungen.

Erst vor wenigen Wochen berichteten wir über eine „Fake-Bewerbungsmail“-Welle, die gezielt Personalabteilungen in Unternehmen anvisierte. Dahinter steckte die Ransomware GandCrab 5.2. Noch immer beobachtet das Hornetsecurity Security Lab eingehende Schad-Mails mit verschlüsselten und Malware infizierten Anhängen. Das Passwort zum Entschlüsseln der schadhaften Datei steht für den Empfänger ersichtlich im Anschreiben der E-Mail. Mit der Entschlüsselung des Anhangs wird jedoch der versteckte Virus nachgeladen und infiziert das Computersystem.

„Malicious Document Decryption“ erweitert Advanced Threat Protection nun um ein weiteres elementares Feature, um der steigenden Bedrohung durch versteckte Malware entgegenzuwirken. E-Mails mit verschlüsselten Anhängen werden auf potenzielle Passwörter analysiert, um damit den Anhang in der Sandbox zu entschlüsseln. Anschließend wird die Datei mit statischen und dynamischen Analyseverfahren gescannt sowie das Verhalten der Datei zur Laufzeit untersucht. So ist es möglich Schadsoftware in verschlüsselten Dateien zu entdecken und die entsprechenden E-Mails vor dem Eintreffen beim Empfänger zu blockieren.

Das „Malicious Document Decryption“ Feature entschlüsselt momentan alle verschlüsselten Microsoft Office-Dateitypen und wird bereits um die Entschlüsselung von PDF und Archivdateien (RAR, ZIP, usw.) erweitert.
Seit Anfang Juni ist Malicious Document Decryption im ATP-Service enthalten und bereits bei allen bestehenden ATP-Kunden aktiviert.