Anders als bei herkömmlicher Ransomware lassen sich die von GermanWiper verschlüsselten Daten nicht mehr decodieren. Der Trojaner zerstört sie dauerhaft. Um sich zu schützen, sollten Sie folgende Maßnahmen treffen.
Ransomware – GermanWiper funktioniert wie NotPetyaAnders als bei herkömmlicher Ransomware lassen sich die von GermanWiper verschlüsselten Daten nicht mehr decodieren. Der Trojaner zerstört sie dauerhaft. Um sich zu schützen, sollten Sie folgende Maßnahmen treffen.
Anfang August machte CERT-Bund, das Computer-Notfallteam des Bundesamtes für Sicherheit in der Informationstechnik (BSI), in einem Tweet auf GermanWiper aufmerksam. Der Verschlüsselungstrojaner wird per E-Mail mit einer komprimierten.zip-Datei im Anhang versendet. Öffnet der Empfänger die Datei, startet die Malware die Verschlüsselung. Laut „Focus“ wird der Trojaner noch nicht von allen Virenscannern erkannt.
Fakten zu GermanWiper
Die schädliche E-Mail tarnt sich als angebliche Bewerbung mit dem Betreff „Bewerbung auf die Stelle bei der Arbeitsagentur“. Als Absender werden bisher die Namen Lena Kretschmer oder Doris Sammer verwendet. Beides lässt sich von den Angreifern jedoch beliebig austauschen. „Chip“ berichtete, dass die Mails professionell gestaltet sind mit einem kurzen Anschreiben in gutem Deutsch samt Foto. Die Bewerbungsunterlagen sollen angeblich im Anhang zu finden sein. Das Landeskriminalamt (LKA) Niedersachsen hat eine Beispiel-Mail veröffentlicht, anhand derer die Merkmale der Erpresser-Nachricht verdeutlicht werden. Wird der Anhang geöffnet, findet das Opfer keinen Lebenslauf, sondern eine Windows-Link-Datei, wie „Heise“ berichtet. Beim Klick startet diese die Powershell in Windows und lädt die eigentliche Malware vom Server nach. Diese überschreibt Dateien mit Nullen und ändert Dateiendungen. GermanWiper ist also – wie der Name schon sagt – keine klassische Ransomware, sondern ein Wiper oder Löschprogramm (Eraser). Ähnlich wie bei NotPetya oder WannaCry werden die Daten dauerhaft zerstört und nicht „nur“ verschlüsselt, sie sind nicht wiederherstellbar. Daher ist die Lösegeldforderung über 1500 Euro in Bitcoin, die GermanWiper seinen Opfern anzeigt, eine weitere Täuschung. Laut „ZDNet“ ist die Malware bisher nur im deutschsprachigen Raum, vor allem in Deutschland, verbreitet.
Das hilft gegen GermanWiper
Da die Ransomware vom Opfer verlangt, den Anhang zu öffnen, ist die erste Gegenmaßnahme, besonders wachsam zu sein. Vor allem Personalabteilungen sollten für die Taktik von GermanWiper sensibilisiert werden, so dass sie verdächtige Mails auf keinen Fall öffnen.
Wurde der Trojaner aktiviert, hilft nur noch der Rückgriff auf ein vorangegangenes Backup. Die zerstörten Daten selbst sind nicht mehr verwendbar. Das BSI rät, bei der Sicherung vier Punkte zu beachten:
► Sichern Sie Ihre Daten regelmäßig auf einem externen Speichermedium, beispielsweise auf einer Festplatte oder in einem vertrauenswürdigen Cloud-Speicher.
► Viele Verschlüsselungstrojaner können auch Daten auf externen Laufwerken und Netzlaufwerken unbrauchbar machen. Verbinden Sie das Speichermedium für Ihre Datensicherungen deshalb nicht dauerhaft mit Ihrem Computer.
► Bewahren Sie Ihre Datensicherung räumlich getrennt von Ihrem Gerät an einem geschützten Ort auf. Wenn Sie Cloud-Dienste verwenden möchten, informieren Sie sich, welchen Schutz Ihrer Daten (Transportverschlüsselung, verschlüsselte Ablage) der Cloud-Betreiber gewährleistet.
► Prüfen Sie anhand einiger Testdateien, ob die gesicherten Daten tatsächlich wiederhergestellt werden können.(jd)
Foto: Sergey Nivens/Shutterstock
Tipps gegen Malware
► 10 Wege, sich vor Ransomware zu schützen
www.cowo.de/3322651
► FAQ Malware: Was ist ein Computervirus?
www.cowo.de/3547429
► Troldesh, Cryptomix und WannaCry – Ransomware ist zurück
www.cowo.de/3547295
► FAQ Cyber-Versicherung: IT-Risiken richtig versichern
www.cowo.de/3546440
