Neuer Erpressungstrojaner (GermanWiper) unterwegs!
- "Geschrieben von Matthias Pufke"
Lösegeld zahlen ist keine Option - GermanWiper verschlüsselt die Daten nicht GermanWiper, sondern überschreibt sie unwiderruflich mit Nullen.
Der CERT-Bund, das Notfallteam des BSI, warnt ganz aktuell vor einer besonders perfiden Ransomware-Variante: GermanWiper
Die Ransomeware kommt i.d.R. per E-Mail als ein vermeintliches Bewerbungsschreiben angehängtes Zip-Archiv und enthält nicht den versprochenen Lebenslauf als Word-Dokument, sondern einen Windows-Link. Dieser startet beim Klick die Powershell in Windows, um die eigentliche Malware von einem Server zu laden. Die Bewerbungsmail verwendet unterschiedliche, wechselnde Namen und Absenderdomains, so dass sich die Malware daran nicht zuverlässig erkennen lässt. Sprachlich gibt die Mail übrigens kaum Anlass um misstrauisch zu werden.
Aber wer den GermanWiper getauften Trojaner aktiviert, der verliert Daten dauerhaft: Statt sie aufwendig zu verschlüsseln, überschreibt die Malware die vorhandenen Dateien gnadenlos mit Nullen und ändert die Dateiendung, bevor sie die Lösegeldforderung anzeigt. Der sollte man auf gar keinen Fall nachkommen - denn sie ist sinnlos,
Der einzige Schlüssel zum Wiederherstellen der Daten ist das eigene Backup, nachdem man die Festplatte selber durch Formatierung richtig und sauber gelöscht hat.