Ransomware GermanWiper

Neuer Erpressertrojaner überschreibt Daten

Von in Aktuelles
07
Aug
'19

Die Ransomware GermanWiper attackiert aktuell Unternehmen in Deutschland. Einmal im System, verschlüsselt sie die Dateien nicht nur, um eine Lösegeldforderung stellen zu können – vielmehr werden die Dateien unwiderruflich überschrieben.

Was es mit GermanWiper auf sich hat und was „Lena Kretschmer“ damit zu tun hat, erfahren Sie bei uns.

Zu sehen ist ein Laptop auf einem weißen Tisch vor weißem Hintergrund. Der Bildschirm ist rot und enthält einen Warnhinweis. Vielleicht ist der Laptop von der Ransomware GermanWiper befallen. Bild: www.pixabay.com / Michael Geiger

Ein Klick auf die zip-Datei im Anhang der Bewerbungsmail und schon breitet sich GermanWiper auf dem Rechner aus. Bild: www.pixabay.com / Michael Geiger

GermanWiper – neue Ransomware verbreitet sich

Im Forum von Bleeping Computer, einer Webseite die sich mit Ransomware-Infektionen beschäftigt, gingen Ende Juli/Anfang August die ersten Hilferufe zu einer unbekannten Form der Ransomware ein. Sie erhielt bald darauf den Namen GermanWiper. Es scheint sich dabei um eine besonders perfide Variante zu handeln.

Das Vorgehen an sich ist nicht unüblich: Unternehmen erhalten eine E-Mail mit Bewerbungsunterlagen; im Anhang versteckt sich dabei eine Schadsoftware, die mit einem Klick auf die angehängte zip-Datei ins Unternehmensnetzwerk gelangt.

Hier kommt es zum entscheidenden Unterschied: Während klassische Ransomware Daten verschlüsselt und ein Lösegeld für die Entschlüsselung verlangt, überschreibt GermanWiper den Inhalt der Dateien mit Nullen. Die ursprünglichen Daten sind daraufhin unwiderruflich verloren. Das hindert die Cyberkriminellen aber nicht daran, trotzdem ein Lösegeld zu fordern.

Ransomware versteckt in Bewerbung

Die Masche hat in weniger als einer Woche bereits so weite Kreise gezogen, dass CERT-Bund, das Computer Emergency Response Team der Bundesverwaltung, bereits vor ihr warnt. In der entprechenden Twitter-Nachricht heißt es: „Angreifer versenden aktuell gefälschte Bewerbungen im Namen von ‚Lena Kretschmer‘ zur Verbreitung der Ransomware GermanWiper. Nicht die Anhänge der Mail öffnen!“

Lena Kretschmer ist nur leider nicht die einzige fälschliche Bewerberin, die den Cyberkriminellen Tür und Tor zu Unternehmensnetzwerken öffnet. Auch der Name Doris Sammer taucht aktuell vermehrt auf. Sie antwortet angeblich auf eine Stellenausschreibung auf der Seite der Arbeitsagentur. Der Bewerbungstext ist ein anderer als bei Lena Kretschmer, allerdings führen beide Anschreiben am Ende des E-Mail-Anschreibens als Anlagen Arbeitszeugnisse, Lebenslauf, Bewerbungsfoto auf – in veränderter Reihenfolge.

Mittlerweile ist offenbar bestätigt, dass es sich bei der Schadsoftware in beiden Fällen um die zerstörerische Ransomware GermanWiper handelt.

Doris Sammer gesellt sich zu Lena Kretschmer

Genau darin zeigt sich das Ausmaß des Problems: Name, E-Mail-Adresse und Betreff können die Angreifer beliebig variieren. Und da sie offenbar reale Stellenausschreibungen für ihre Attacken nutzen, ist die Gefahr groß, dass Unternehmen der falschen Bewerbungsmail auf der Suche nach neuen Mitarbeitern auf den Leim gehen. Immerhin ist sie vielversprechend gestaltet: Der Textinhalt klingt interessant, die Rechtschreibung ist korrekt und die Frau auf dem integrierten Foto scheint sympathisch.

Dass viele Unternehmen den Dateianhang tatsächlich öffnen, zeigt sich anhand von Zahlen. So berichtet ZDNet, dass GermanWiper auf ID-Ransomware, einer Webseite zur Identifizierung von Ransomware, aktuell als eine der fünf aktivsten Ransomwares weltweit gelistet wird.

Die Angriffe beschränken sich derzeit noch auf den deutschsprachigen Raum. Ob und wie lange es dabei bliebt, ist aber ungewiss. Aufgrund der raschen Verbreitung von GermanWiper gehen viele User im Forum von Bleeping Computer davon aus, dass sie sich auf längere Zeit halten und eventuell ausbreiten wird.

Zu sehen ist der Screenshot eines Twitter-Beitrags von CERT-Bund. Darin wird vor der Ransomware GermanWiper gewarnt. Bild: Screenshot

CERT-Bund warnt auf Twitter vor der Ransomware GermanWiper. Bild: Screenshot

Lösegeld zahlen? Auf keinen Fall.

Unternehmen, die auf eine falsche Bewerbungsmail von Lena Kretschmer oder Doris Sammer hereingefallen sind, wird von allen Seiten ans Herz gelegt: Gehen Sie nicht auf die Lösegeld-Forderung ein.

Die Notiz, die auf Deutsch über die Verschlüsselung des Systems aufklärt und die Bezahlung von 1.500 Euro in Bitcoins fordert, geht erst über den Standardbrowser des Nutzers ein, wenn alle Ziel-Dateien von GermanWiper überschrieben sind – und dann ist es für eine Wiederherstellung der Dateien ohnehin schon zu spät.

Es bleibt bei einem Befalls also nur, das System zu säubern und zum Wiederherstellen der Dateien das Backup neu aufzuspielen. Sofern es ein aktuelles Backup gibt. Unternehmen, die in dieser Hinsicht nicht vorgesorgt haben, stehen deutlich größeren Problemen gegenüber. Denn oft stehen bei einem solchen Datenverlust Existenzen auf dem Spiel.

Schutz vor GermanWiper

Einen wirksamen Schutz vor GermanWiper gibt es aktuell nicht. Deshalb ist es umso wichtiger, dass sich Unternehmen kontinuierlich um das besagte Backup kümmern. Damit sich die Verantwortlichen innerhalb eines Unternehmens sorgenfrei auf Ihr Kerngeschäft konzentrieren können, übernehmen die Experten aus dem IT-SERVICE.NETWORK das Backup-Management für sie.

Dazu gehört nicht nur die fortlaufende Sicherung aller Dateien und Datenbanken. Die Backups werden auch mittels einer umfangreichen Verschlüsselung geschützt. Eine Wiederherstellung der Daten im Falle eines Verlusts ist dann problemlos möglich und sorgt dafür, dass der Ransomware-Befall den laufenden Betrieb nicht allzu lange lahm legt.

Nehmen Sie am besten umgehend Kontakt zu einem unserer Experten auf und lassen sich zu Backup und IT-Sicherheit beraten. Der aktuelle Ransomware-Befall liefert Ihnen dafür sicherlich die besten Gründe.

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, IT-Themen verständlich und SEO-optimiert aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.