Duitse overheid waarschuwt voor ransomware die bestanden wist

De Duitse overheid heeft een waarschuwing gegeven voor een nieuw ransomware-exemplaar genaamd “GermanWiper” dat bestanden wist en vervangt door een lege versie in plaats van ze te versleutelen. Toch vraagt de ransomware 1500 dollar voor het “ontsleutelen” van de bestanden.

De aanval begint met een Duitstalige e-mail die als onderwerp “Ihr Stellenangebot – Bewerbung – Lena Kretschmer” heeft. Als bijlage is het bestand Unterlagen_Lena_Kretschmer.zip meegestuurd. Dit zip-bestand bevat weer twee LNK-bestanden die wanneer geopend de malware op het systeem downloaden en uitvoeren. Eenmaal actief zoekt de “ransomware” naar bestanden die het verwijdert en overschrijft met nullen. De ransomware laat een “leeg” exemplaar, waardoor slachtoffers denken dat hun bestanden er nog zijn. Dit lege bestand krijgt, net als door veel andere ransomware wordt gedaan, een andere extensie waardoor het lijkt alsof de inhoud versleuteld is.

Na het verwijderen van de bestanden verwijdert de malware ook de shadow volume kopieën en schakelt Windows Opstartherstel uit. Aangezien er niets te ontsleutelen valt krijgen slachtoffers het advies om het gevraagde losgeld niet te betalen. Vanwege de ransomware heeft het computer emergency response team van de Duitse overheid (CERT-Bund) een waarschuwing op Twitter gegeven, met informatie over de domeinen en ip-adressen die aanvallers gebruiken. Organisaties krijgen het advies om e-mails van bepaalde domeinen te blokkeren, alsmede ervoor te zorgen dat er met andere domeinen geen verbinding kan worden gemaakt. Dit moet het downloaden van de malware voorkomen.

Bron: security.nl