Mit GermanWiper werden aktuell vor allem deutschsprachige Anwender mit einer Ransomware attackiert, die sich per E-Mail als angebliche Bewerbung verbreiten möchte. Tatsächlich wurden wohl auch bereits einige Rechner infiziert. Da die Ransomware sich über eine E-Mail mit einer vorgetäuschten Bewerbung einer Lena Kretschmer auf eine offene Stelle verbreiten möchte, sind hier natürlich besonders Unternehmen mögliche Opfer. Privatanwender würden eine solche E-Mail wahrscheinlich als uninteressant ignorieren und höchstens aus Neugier öffnen.

Schadsoftware startet erst nach Anklicken des Anhangs

Die eigentliche Schadsoftware befindet sich nicht direkt in der E-Mail, sodass das reine Herunterladen der E-Mail noch nicht gefährlich ist. Vielmehr beinhaltet die E-Mail einen vermeintlichen Zip-Anhang für die angeblichen Bewerbungsunterlagen. Bei dem Anhang handelt es sich in Wahrheit aber um eine Verknüpfung als .lnk Datei, die, wenn angeklickt, eine Befehlskette über die Windows PowerShell sendet, mit der erst dann die eigentliche Ransomware heruntergeladen wird.

GermanWiper wird zwar als Ransomware bewertet, tatsächlich handelt es sich aber eher um einen bösartigen Virus. Wenn die Schadsoftware aktiv wird, so beginnt sie damit alle erreichbaren Daten-Dateien zu überschreiben. Sie verschlüsselt Daten also nicht, sondern überschreibt sie mit Nullen und fügt wohl auch allen Dateien noch eine neue Erweiterung hinzu, sodass diese auch bei Zahlung eines Lösegeldes nicht wiederhergestellt werden könnten. Das eigentliche System lässt die Schadsoftware aber unangetastet.

Lösegeld zahlen kann man sich schenken

Nach Beendigung des Vorgangs zeigt die Schadsoftware eine entsprechende Meldung an und fordert zur Zahlung eines Lösegeldes auf, um die angebliche Entschlüsselungssoftware zu erhalten. Wie erwähnt: die Daten können nicht entschlüsselt werden, man kann sich also die Zahlung ersparen, denn mit dieser schädigt man sich nur doppelt. Die Schadsoftware soll dabei gut drei duzend Bitcoin Adressen enthalten, wovon per Zufall wohl immer eine ausgewählt wird.

GermanWiper soll wohl mit Delphi entwickelt worden sein und man könnte vermuten, dass der dahinterstehende Entwickler (oder besser Kriminelle) auch aus dem deutschsprachigen Raum stammt.

Es ist zu empfehlen, verantwortliche Mitarbeiter über die Ransomware-Attacke zu informieren, auch dann, wenn das eigene Unternehmen aktuell gar keine offenen Stellen anbietet. Selbstverständlich sollten alle Mitarbeiter generell über den Umgang mit E-Mails und Anhängen sensibilisiert und geschult sein sowie entsprechende Sicherheitsrichtlinien im Unternehmen vorhanden sein, also etwa: Wer darf was? und Wer hat Zugriff auf welche Daten?. Zum Grundkonzept gehören natürlich auch eine gute Backup-Lösung sowie entsprechende Internet Security Lösungen für Unternehmen, sehr empfehlenswert z. B. Bitdefender GravityZone, welches es in unterschiedlichen Ausführungen je nach Unternehmensgröße gibt.

Also Unternehmen, die eine angebliche E-Mail Bewerbung einer Lena Kretschmer erhalten, sollten diese sofort löschen. Und auch bei allen anderen Bewerbungen per E-Mail mit Anhang gilt immer äußerste Vorsicht.