Pseudo-Ransomware GermanWiper löscht alle Dateien

Das inzwischen wegen übertriebener Sicherheitswarnungen unter Beobachtung stehende Notfallteam des BSI, CERT-Bund, warnt aktuell vor einer besonders perfiden Ransomware-Variante: Der Schädling hängt an einem vermeintlichen Bewerbungsschreiben als Zip-Archiv an und enthält nicht den erwarteten Lebenslauf als Word-Dokument, sondern eine Windows-Link-Datei.

Diese LNK-Datei startet beim Klick die Powershell von Windows, um die eigentliche Malware von einem fremden Server nachzuladen. Die Bewerbungsmail nutzt diverse Namen und Absenderdomains, deshalb kann man die Malware daran nicht zuverlässig erkennen. Auch sprachlich erzeugt die Mail kaum einen Verdacht.

Wenn ein Opfer aber den GermanWiper benannten Trojaner arglos aktiviert, verliert  es seine Daten dauerhaft: Denn GermanWiper verschlüsselt die Dateien nicht etwa, sondern überschreibt sie mit Nullen und ändert auch die Dateiendung, bevor er dann die Lösegeldforderung anzeigt.

Dieser Forderung sollte man auf  keinen Fall nachkommen, denn der einzige Weg zum Wiederherstellen der Daten ist nach dem Angriff nur noch ein eigenes Backup.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Programmierung, Sicherheit, Soziales, Tipps und Tricks, Wirtschaft abgelegt und mit , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.