GermanWiper: Neue Ransomware befällt deutschsprachigen Raum

Seit etwa einer Woche mehren sich Meldungen aus dem deutschsprachigen Raum über eine neue Art Schadsoftware. Im Unterschied zu typischer Ransomware verschlüsselt GermanWiper die Daten nicht, sondern überschreibt sie mit Nullen und zerstört sie somit permanent. Das geforderte Lösegeld von 1500 US-Dollar sollte darum unter keinen Umständen bezahlt werden. Die einzige Möglichkeit, seine Daten wieder zurück zu bekommen, ist ein Backup einzuspielen. 

Einer der ersten Berichte über einen Befall mit der Schadsoftware wurde im BleepingComputer-Forum vergangenen Dienstag gepostet, wie ZDNet berichtet. Laut der Plattform ID-Ransomware ist GermanWiper aktuell eine der fünf aktivsten Typen an Ransomware auf der Webseite. Dort können betroffene Anwender bei einem Befall mit Erpresser-Software bestimmen, um welche Art es sich handelt. 

Der Umstand, dass eine deutschsprachige Schadsoftware auf der internationalen Plattform eine der meistgesuchten Arten ist, lässt auf eine große Verbreitung schließen. 

Auch der CERT-Bund warnt bereits vor GermanWiper. Demnach verbreitet sich die Software derzeit vorwiegend per E-Mail.

Das Schreiben gibt vor, eine Job-Bewerbung von “Lena Kretschmer” zu sein. Im Anhang befindet sich ein ZIP-Archiv, das als “Lebenslauf” getarnt ist. In dem Archiv befindet sich eine LNK-Datei, die die Installation der Schadsoftware auslöst. Dann wird der Inhalt der Daten mit 0x00 überschrieben. Außerdem bekommen alle Dateien neue Erweiterungen, wie etwa .AVco3, .OQn1B oder .rjzR8. 

Lösegeld

Sind alle Dateien gelöscht, öffnet die Software ein HTML-Dokument im Standard-Browser, in dem sich eine “Entschlüsselungs-Anleitung” befindet. Dort werden die 1500 Dollar in Bitcoin gefordert. 

Es ist davon auszugehen, dass die E-Mails auch in Österreich kursieren. Sollte man auf eines dieser Mails stoßen, empfiehlt sich eine sofortige Löschung. Grundsätzlich sollte man nie E-Mail-Anhänge von unbekannten Absendern öffnen.