Ransomware

GermanWiper funktioniert wie NotPetya

12.08.2019
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.
Anders als bei herkömmlicher Ransomware lassen sich die von GermanWiper verschlüsselten Daten nicht mehr decodieren. Der Trojaner zerstört sie dauerhaft.

Anfang August machte CERT-Bund, das Computer-Notfallteam des Bundesamtes für Sicherheit in der Informationstechnik (BSI), in einem Tweet auf GermanWiper aufmerksam. Der Verschlüsselungstrojaner wird per E-Mail mit einer komprimierten .zip-Datei im Anhang versendet. Öffnet der Empfänger die Datei, startet die Malware die Verschlüsselung. Laut Focus wird der Trojaner momentan noch nicht von allen Virenscannern erkannt.

Wurde GermanWiper aktiviert, sind die Daten nicht mehr zu retten. Der Rückgriff auf ein Backup ist derzeit die einzige Lösung.
Wurde GermanWiper aktiviert, sind die Daten nicht mehr zu retten. Der Rückgriff auf ein Backup ist derzeit die einzige Lösung.
Foto: Sergey Nivens - shutterstock.com

Fakten zu GermanWiper

Die schädliche E-Mail tarnt sich als angebliche Bewerbung mit dem Betreff "Bewerbung auf die Stelle bei der Arbeitsagentur". Als Absender werden bisher die Namen Lena Kretschmer oder Doris Sammer verwendet. Beides lässt sich von den Angreifern jedoch beliebig austauschen.

Chip berichtet, dass die Mails professionell gestaltet sind mit einem kurzen Anschreiben in gutem Deutsch samt Foto. Die Bewerbungsunterlagen sollen angeblich im Anhang zu finden sein. Das Landeskriminalamt (LKA) Niedersachsen hat eine Beispiel-Mail veröffentlicht, anhand derer die Merkmale der Erpresser-Nachricht verdeutlicht werden

Wird der Anhang geöffnet, findet das Opfer keinen Lebenslauf, sondern eine Windows-Link-Datei wie Heise berichtet. Beim Klick startet diese die Powershell in Windows und lädt die eigentliche Malware vom Server nach. Diese überschreibt Dateien mit Nullen und ändert Dateiendungen. GermanWiper ist also - wie der Name schon sagt - keine klassische Ransomware, sondern ein Wiper oder Löschprogramm (Eraser).

Ähnlich wie bei NotPetya oder WannaCry werden die Daten dauerhaft zerstört und nicht "nur" verschlüsselt, sie sind nicht wieder herstellbar. Daher ist die Lösegeldforderung über 1.500 Euro, zu zahlen in Bitcoin, die GermanWiper seinen Opfern anzeigt, eine weitere Täuschung.

Laut ZDNet beschränkt sich die Verbreitung der Malware derzeit auf den deutschsprachigen Raum mit Fokus auf Deutschland.

Gegenmaßnahmen zu GermanWiper

Da die Ransomware vom Opfer verlangt, aktiv den Anhang zu öffnen, ist die erste Gegenmaßnahme, besonders wachsam zu sein. Vor allem Personalabteilungen sollten für die Taktik von GermanWiper sensibilisiert werden, so dass sie verdächtige Mails auf keinen Fall öffnen.

Wurde der Trojaner aktiviert, hilft nur noch der Rückgriff auf ein vorangegangenes Backup. Die zerstörten Daten selbst, sind nicht mehr verwendbar. Das BSI rät dazu, bei der Sicherung die folgenden vier allgemeinen Punkte zu beachten:

  1. Sichern Sie Ihre Daten regelmäßig auf einem externen Speichermedium, beispielsweise auf einer Festplatte oder in einem vertrauenswürdigen Cloud-Speicher.

  2. Viele Verschlüsselungstrojaner können auch Daten auf externen Laufwerken und Netzlaufwerken unbrauchbar machen. Verbinden Sie das Speichermedium für Ihre Datensicherungen deshalb nicht dauerhaft mit Ihrem Computer.

  3. Bewahren Sie Ihre Datensicherung räumlich getrennt von Ihrem Gerät an einem geschützten Ort auf. Wenn Sie Cloud-Dienste verwenden möchten, informieren Sie sich, welchen Schutz Ihrer Daten (Transportverschlüsselung, verschlüsselte Ablage) der Cloud-Betreiber gewährleistet.

  4. Prüfen Sie anhand einiger Test-Dateien, ob die gesicherten Daten tatsächlich wiedergestellt werden können.