Arbeitswelt & Trends

Ransomware GermanWiper

Neuer Erpressertrojaner überschreibt Daten

von 07.08.2019
Zu sehen ist ein Laptop auf einem weißen Tisch vor weißem Hintergrund. Der Bildschirm ist rot und enthält einen Warnhinweis. Vielleicht ist der Laptop von der Ransomware GermanWiper befallen. Bild: www.pixabay.com / Michael Geiger
Ein Klick auf die zip-Datei im Anhang der Bewerbungsmail und schon breitet sich GermanWiper auf dem Rechner aus. Bild: Pixabay/ Michael Geiger

Die Ransomware GermanWiper attackiert aktuell Unternehmen in Deutschland. Einmal im System, verschlüsselt sie die Dateien nicht nur, um eine Lösegeldforderung stellen zu können – vielmehr werden die Dateien unwiderruflich überschrieben.
Was es mit GermanWiper auf sich hat und was „Lena Kretschmer“ damit zu tun hat, erfahren Sie bei uns.

Zu sehen ist ein Laptop auf einem weißen Tisch vor weißem Hintergrund. Der Bildschirm ist rot und enthält einen Warnhinweis. Vielleicht ist der Laptop von der Ransomware GermanWiper befallen. Bild: www.pixabay.com / Michael Geiger

Ein Klick auf die zip-Datei im Anhang der Bewerbungsmail und schon breitet sich GermanWiper auf dem Rechner aus. Bild: www.pixabay.com / Michael Geiger

GermanWiper – neue Ransomware verbreitet sich

Im Forum von Bleeping Computer, einer Webseite die sich mit Ransomware-Infektionen beschäftigt, gingen Ende Juli/Anfang August die ersten Hilferufe zu einer unbekannten Form der Ransomware ein. Sie erhielt bald darauf den Namen GermanWiper. Es scheint sich dabei um eine besonders perfide Variante zu handeln.
Das Vorgehen an sich ist nicht unüblich: Unternehmen erhalten eine E-Mail mit Bewerbungsunterlagen; im Anhang versteckt sich dabei eine Schadsoftware, die mit einem Klick auf die angehängte zip-Datei ins Unternehmensnetzwerk gelangt.
Hier kommt es zum entscheidenden Unterschied: Während klassische Ransomware Daten verschlüsselt und ein Lösegeld für die Entschlüsselung verlangt, überschreibt GermanWiper den Inhalt der Dateien mit Nullen. Die ursprünglichen Daten sind daraufhin unwiderruflich verloren. Das hindert die Cyberkriminellen aber nicht daran, trotzdem ein Lösegeld zu fordern.

Ransomware versteckt in Bewerbung

Die Masche hat in weniger als einer Woche bereits so weite Kreise gezogen, dass CERT-Bund, das Computer Emergency Response Team der Bundesverwaltung, bereits vor ihr warnt. In der entprechenden Twitter-Nachricht heißt es: „Angreifer versenden aktuell gefälschte Bewerbungen im Namen von ‚Lena Kretschmer‘ zur Verbreitung der Ransomware GermanWiper. Nicht die Anhänge der Mail öffnen!“
Lena Kretschmer ist nur leider nicht die einzige fälschliche Bewerberin, die den Cyberkriminellen Tür und Tor zu Unternehmensnetzwerken öffnet. Auch der Name Doris Sammer taucht aktuell vermehrt auf. Sie antwortet angeblich auf eine Stellenausschreibung auf der Seite der Arbeitsagentur. Der Bewerbungstext ist ein anderer als bei Lena Kretschmer, allerdings führen beide Anschreiben am Ende des E-Mail-Anschreibens als Anlagen Arbeitszeugnisse, Lebenslauf, Bewerbungsfoto auf – in veränderter Reihenfolge.
Mittlerweile ist offenbar bestätigt, dass es sich bei der Schadsoftware in beiden Fällen um die zerstörerische Ransomware GermanWiper handelt.

Doris Sammer gesellt sich zu Lena Kretschmer

Genau darin zeigt sich das Ausmaß des Problems: Name, E-Mail-Adresse und Betreff können die Angreifer beliebig variieren. Und da sie offenbar reale Stellenausschreibungen für ihre Attacken nutzen, ist die Gefahr groß, dass Unternehmen der falschen Bewerbungsmail auf der Suche nach neuen Mitarbeitern auf den Leim gehen. Immerhin ist sie vielversprechend gestaltet: Der Textinhalt klingt interessant, die Rechtschreibung ist korrekt und die Frau auf dem integrierten Foto scheint sympathisch.
Dass viele Unternehmen den Dateianhang tatsächlich öffnen, zeigt sich anhand von Zahlen. So berichtet ZDNet, dass GermanWiper auf ID-Ransomware, einer Webseite zur Identifizierung von Ransomware, aktuell als eine der fünf aktivsten Ransomwares weltweit gelistet wird.
Die Angriffe beschränken sich derzeit noch auf den deutschsprachigen Raum. Ob und wie lange es dabei bliebt, ist aber ungewiss. Aufgrund der raschen Verbreitung von GermanWiper gehen viele User im Forum von Bleeping Computer davon aus, dass sie sich auf längere Zeit halten und eventuell ausbreiten wird.

Zu sehen ist der Screenshot eines Twitter-Beitrags von CERT-Bund. Darin wird vor der Ransomware GermanWiper gewarnt. Bild: Screenshot

CERT-Bund warnt auf Twitter vor der Ransomware GermanWiper. Bild: Screenshot

Lösegeld zahlen? Auf keinen Fall.

Unternehmen, die auf eine falsche Bewerbungsmail von Lena Kretschmer oder Doris Sammer hereingefallen sind, wird von allen Seiten ans Herz gelegt: Gehen Sie nicht auf die Lösegeld-Forderung ein.
Die Notiz, die auf Deutsch über die Verschlüsselung des Systems aufklärt und die Bezahlung von 1.500 Euro in Bitcoins fordert, geht erst über den Standardbrowser des Nutzers ein, wenn alle Ziel-Dateien von GermanWiper überschrieben sind – und dann ist es für eine Wiederherstellung der Dateien ohnehin schon zu spät.
Es bleibt bei einem Befalls also nur, das System zu säubern und zum Wiederherstellen der Dateien das Backup neu aufzuspielen. Sofern es ein aktuelles Backup gibt. Unternehmen, die in dieser Hinsicht nicht vorgesorgt haben, stehen deutlich größeren Problemen gegenüber. Denn oft stehen bei einem solchen Datenverlust Existenzen auf dem Spiel.

Schutz vor GermanWiper

Einen wirksamen Schutz vor GermanWiper gibt es aktuell nicht. Deshalb ist es umso wichtiger, dass sich Unternehmen kontinuierlich um das besagte Backup kümmern. Damit sich die Verantwortlichen innerhalb eines Unternehmens sorgenfrei auf Ihr Kerngeschäft konzentrieren können, übernehmen die Experten aus dem IT-SERVICE.NETWORK das Backup-Management für sie.
Dazu gehört nicht nur die fortlaufende Sicherung aller Dateien und Datenbanken. Die Backups werden auch mittels einer umfangreichen Verschlüsselung geschützt. Eine Wiederherstellung der Daten im Falle eines Verlusts ist dann problemlos möglich und sorgt dafür, dass der Ransomware-Befall den laufenden Betrieb nicht allzu lange lahm legt.
Nehmen Sie am besten umgehend Kontakt zu einem unserer Experten auf und lassen sich zu Backup und IT-Sicherheit beraten. Der aktuelle Ransomware-Befall liefert Ihnen dafür sicherlich die besten Gründe.

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema Arbeitswelt & Trends

Arbeitswelt & Trends

Teams 2.0

Neuer Microsoft-Teams-Client ab 1. April 2024 Pflicht

von • 13.03.2024

Microsoft hat bereits Anfang Oktober 2023 eine neue Microsoft-Teams-App vorgestellt. Zum 1. April wird die neue Desktop-App – Teams 2.0 genannt – zur Pflicht.  Wir erklären, was es mit dem ne...

Weiterlesen
Arbeitswelt & Trends

Professionelle E-Mail-Signatur

Mit diesen Tipps können Sie Ihre E-Mail-Signatur erstellen

von • 06.03.2024

Jeden Tag aufs Neue werden unzählige E-Mails zur geschäftlichen Kommunikation versendet. Für einen guten (ersten) Eindruck ist eine professionelle E-Mail-Signatur dabei elementar. Wir erklären,...

Weiterlesen
Arbeitswelt & Trends

Netiquette

15 Verhaltensregeln für einen respektvollen Umgang im Internet

von • 05.02.2024

Im Internet, besonders in den Sozialen Netzwerken, herrscht oft ein etwas rauer Ton. Deshalb gibt es die Netiquette: Sie soll mit wichtigen Verhaltensregeln für bessere Umgangsformen im Netz sorgen. ...

Weiterlesen