GermanWiper: Ransomware-Attacke macht Jagd auf deutsche User

Deutschland wird seit letzter Woche von einer neuen Ransomware-Kampagne heimgesucht. Momentan zählt „GermanWiper“ zu den Top 5 der überwachten Varianten. Dabei handelt es sich noch nicht mal um klassische Ransomware, denn die Daten werden nicht verschlüsselt.

Die Hacker verlangen zwar nach einem Lösegeld, das in Form von Bitcoins bezahlt werden soll. Die Daten sind allerdings schon längst verloren: Jede Datei, die GermanWiper berührt, wird sofort gelöscht und mit Nullen überschrieben.

Ohne Backup sind die Daten futsch

Typischerweise verschlüsseln Ransomware-Attacken die Daten lediglich und werden nach Zahlung des Lösegelds wieder freigegeben. Das ist im Fall von GermanWiper nicht möglich. Deshalb sollten Betroffene auch auf keinen Fall der Zahlungs-Forderung nachkommen.

Die Daten, die GermanWiper infiziert und löscht, sind vermutlich für immer verloren, sofern der User kein geschütztes Backup hat, das etwa verschlüsselt ist oder auf Offline-Speichern vorgehalten wird.

GermanWiper-Opfer bitten im Web um Hilfe

Nachdem erste Opfer von GermanWiper letzte Woche im Web um Hilfe gebeten haben ist auch der CERT-Bund und der Sicherheitsforscher Marius Genheimer auf die Malware aufmerksam geworden.

So konnte Genheimer die Malware samt zugehöriger E-Mail untersuchen. Die E-Mail betrifft eine Stellenbewerbung beim Arbeitsamt, der zwei Dateien angehängt sind. Einmal eine Zip-Datei mit Arbeitszeugnis und Lebenslauf sowie ein Bewerbungsfoto im JPG-Format.

GermanWiper - Email
Quelle: Genheimer

Angreifer verwenden perfektes Deutsch

Das Auffallende an der Mail ist das fehlerfreie Deutsch und die sehr authentisch gehaltene Sprache. Das gilt auch für den Erpresser-Brief, in dem der User nach der erfolgreichen Infizierung zur Zahlung aufgefordert wird.

GermanWiper - Ransomware Note
Quelle: ZDNet

Nach der Initialisierung läuft GermanWiper eine ganze Liste an Dateitypen ab, die gelöscht werden. Auch Wiederherstellungspunkte werden dabei komplett entfernt.

Warum die Hacker keinen Verschlüsselungs-Algorithmus integriert haben, wie es für Ransomware sonst typisch ist, ist momentan nicht bekannt. User sollten auf keinen Fall Datenanhänge von Mails öffnen, deren Empfänger sie nicht kennen.