In der vergangenen Woche hat eine neue Ransomware-Sorte bundesweit für Furore gesorgt. Diese Ransomware namens GermanWiper verschlüsselt keine Dateien, sondern schreibt ihren Inhalt mit Nullen neu und zerstört so dauerhaft die Daten der Benutzer.
Infolgedessen sollten sich alle Benutzer, die mit dieser Ransomware infiziert sind, darüber im Klaren sein, dass die Zahlung der Lösegeldforderung ihnen nicht helfen wird, ihre Dateien wiederherzustellen. Wenn Benutzer keine Offline-Sicherungen ihrer Daten erstellt haben, sind ihre Dateien höchstwahrscheinlich für immer verloren. Derzeit beschränkt sich die Verbreitung der Ransomware offenbar nur den deutschsprachigen Raum, wobei vor allem Deutschland im Fokus steht.
Erste Anzeichen von GermanWiper wurden Anfang letzter Woche gemeldet, als die Opfer anfingen, im Forum von Bleeping Computer um Hilfe zu bitten, einem beliebten Ort, an dem sich Internetnutzer treffen, um Ratschläge im Umgang mit Ransomware-Infektionen zu erhalten.
Michael Gillespie, der Gründer von ID-Ransomware, einer Website, auf der Ransomware-Opfer Proben hochladen und die Art der Ransomware identifizieren können, die ihre Systeme infiziert hat, sagte ZDNet, dass GermanWiper derzeit eine der fünf aktivsten Ransomware-Stämme auf seiner Plattform ist.
Die vier Ransomware-Stämme mit mehr Erkennungen auf ID-Ransomware sind alle Stämme, die weltweit verbreitet sind. Unter Berücksichtigung dieser Details kann man mit Sicherheit sagen, dass deutschsprachige Nutzer derzeit von den Betreibern von GermanWiper angegriffen werden.
Verteilt über Malspam
Laut dem deutschen Sicherheitsforscher Marius Genheimer und dem CERT-Bund, dem Computer Emergency Response Team in Deutschland, wird die GermanWiper Ransomware derzeit über bösartige E-Mail-Spam (Malspam) Kampagnen verbreitet.
Diese E-Mails geben vor, Bewerbungen von einer Person namens „Lena Kretschmer“ zu sein. Ein Lebenslauf ist als ZIP-Datei an diese E-Mails angehängt und enthält eine LNK-Verknüpfungsdatei. Wenn man darauf klickt, wird die GermanWiper-Ransomware installiert.
Die Ransomware überschreibt den Inhalt verschiedener lokaler Dateien mit dem Wert 0x00 und fügt allen Dateien eine neue Erweiterung hinzu. Diese Erweiterung hat ein Format von fünf zufälligen alphanumerischen Zeichen, wie .08kJA, .AVco3, .OQn1B, .rjzR8, etc…..
Nachdem es alle Ziel-Dateien „verschlüsselt“ hat, öffnet GermanWiper die Lösegeldnotiz (eine HTML-Datei) im Standardbrowser des Benutzers.
Seltsamerweise ist dies nicht die erste Ransomware, die Dateien einfach löscht und sich an deutschsprachige Benutzer richtet. Im November 2017 wurde Deutschland von einem ähnlichen Ransomware-Samm namens Ordinypt (oder HSDFSDCrypt) angegriffen.
Zufällig, oder auch nicht, benutzte Ordinypt auch Malspam für die Verbreitung und die Lebensläufe schöner Frauen, um Opfer dazu zu bringen, sich selbst zu infizieren. Darüber hinaus ist auch die Ordinypt Lösegeldforderung nahezu identisch mit der von GermanWiper.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
