GermanWiper, so nennt sich die neue Ransomware, die gerade Deutschland befällt. Hinter einer unauffälligen Bewerbung versteckt sich eine üble Schadsoftware, deren Ausführung den unwiderruflichen Datenverlust zur Folge hat.
So verbreitet sich GermanWiper
Doch wie verbreitet sich die Ransomware? Getarnt wird sie durch ein Bewerbungsschreiben, welches Firmen per E-Mail zugesendet wird. Im Anhang befindet sich ein ZIP-Archiv, enthalten ist eine Windows-Link-Datei. Diese Verknüpfung startet eine Instanz der PowerShell-Kommandozeile, welche ein Befehl zum Datei-Download anstoßt. Bei dem Download handelt es sich um die eigentliche Ransomware, die sofort nach Beendigung des Downloads startet und große Schäden anrichtet.
Anders als Ransomware im eigentlichen Sinne, verschlüsselt GermanWiper nicht die Dateien, sondern überschreibt diese komplett mit Nullen. Zwar wird ebenfalls eine Lösegeldforderung angezeigt, doch dieser nachzugehen ergibt keinen Sinn, da die Dateien auch nach Zahlung für immer verloren bleiben. Entsprechend ist GermanWiper eine Ransomware der ganz üblen Sorte.
Eine ganz normale Bewerbung…
Auch wenn das Bewerbungsschreiben keine sprachlichen Auffälligkeiten besitzt und anscheinend mit unterschiedlichen Absenderdomains ihr Ziel erreicht, sollten die Alarmglocken im gesunden Menschenverstand läuten, wenn sich Bewerbungsunterlagen in einer winzigen ZIP-Datei verstecken.
Einige Unternehmen nehmen mittlerweile Bewerbungen nur noch als PDFs an, jedoch nicht alle. Ich kann mir gut vorstellen, dass Firmen häufiger mit komprimierten Ordnerarchiven konfrontiert werden, einfach da Bewerbungen aus vielen unterschiedlichen Unterlagen bestehen können.
Abschließend lässt sich sagen, dass auch in diesem Fall wieder der Benutzer vor dem Computer die Ransomware manuell ausführt. Doch auch wie bei anderen bisherigen Fällen werden trotzdem viele Computer infiziert, weswegen teilweise wichtige Dateien verloren gehen.
via Heise