Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 2 Min.

Ransomware – GermanWiper funktioniert wie NotPetya


Computerwoche - epaper ⋅ Ausgabe 35/2019 vom 19.08.2019

Anders als bei herkömmlicher Ransomware lassen sich die von GermanWiper verschlüsselten Daten nicht mehr decodieren. Der Trojaner zerstört sie dauerhaft. Um sich zu schützen, sollten Sie folgende Maßnahmen treffen.

Ransomware – GermanWiper funktioniert wie NotPetyaAnders als bei herkömmlicher Ransomware lassen sich die von GermanWiper verschlüsselten Daten nicht mehr decodieren. Der Trojaner zerstört sie dauerhaft. Um sich zu schützen, sollten Sie folgende Maßnahmen treffen.

Anfang August machte CERT-Bund, das Computer-Notfallteam des Bundesamtes für Sicherheit in der Informationstechnik (BSI), in einem Tweet auf GermanWiper aufmerksam. Der Verschlüsselungstrojaner wird per E-Mail mit einer komprimierten.zip-Datei im Anhang versendet. Öffnet der Empfänger die Datei, startet die Malware die Verschlüsselung. Laut „Focus“ wird der Trojaner noch nicht von allen Virenscannern erkannt.

Fakten zu GermanWiper

Die schädliche E-Mail tarnt sich als angebliche Bewerbung mit dem Betreff „Bewerbung auf die Stelle bei der Arbeitsagentur“. Als Absender werden bisher die Namen Lena Kretschmer oder Doris Sammer verwendet. Beides lässt sich von den Angreifern jedoch beliebig austauschen. „Chip“ berichtete, dass die Mails professionell gestaltet sind mit einem kurzen Anschreiben in gutem Deutsch samt Foto. Die Bewerbungsunterlagen sollen angeblich im Anhang zu finden sein. Das Landeskriminalamt (LKA) Niedersachsen hat eine Beispiel-Mail veröffentlicht, anhand derer die Merkmale der Erpresser-Nachricht verdeutlicht werden. Wird der Anhang geöffnet, findet das Opfer keinen Lebenslauf, sondern eine Windows-Link-Datei, wie „Heise“ berichtet. Beim Klick startet diese die Powershell in Windows und lädt die eigentliche Malware vom Server nach. Diese überschreibt Dateien mit Nullen und ändert Dateiendungen. GermanWiper ist also – wie der Name schon sagt – keine klassische Ransomware, sondern ein Wiper oder Löschprogramm (Eraser). Ähnlich wie bei NotPetya oder WannaCry werden die Daten dauerhaft zerstört und nicht „nur“ verschlüsselt, sie sind nicht wiederherstellbar. Daher ist die Lösegeldforderung über 1500 Euro in Bitcoin, die GermanWiper seinen Opfern anzeigt, eine weitere Täuschung. Laut „ZDNet“ ist die Malware bisher nur im deutschsprachigen Raum, vor allem in Deutschland, verbreitet.

Das hilft gegen GermanWiper

Da die Ransomware vom Opfer verlangt, den Anhang zu öffnen, ist die erste Gegenmaßnahme, besonders wachsam zu sein. Vor allem Personalabteilungen sollten für die Taktik von GermanWiper sensibilisiert werden, so dass sie verdächtige Mails auf keinen Fall öffnen.
Wurde der Trojaner aktiviert, hilft nur noch der Rückgriff auf ein vorangegangenes Backup. Die zerstörten Daten selbst sind nicht mehr verwendbar. Das BSI rät, bei der Sicherung vier Punkte zu beachten:
► Sichern Sie Ihre Daten regelmäßig auf einem externen Speichermedium, beispielsweise auf einer Festplatte oder in einem vertrauenswürdigen Cloud-Speicher.
► Viele Verschlüsselungstrojaner können auch Daten auf externen Laufwerken und Netzlaufwerken unbrauchbar machen. Verbinden Sie das Speichermedium für Ihre Datensicherungen deshalb nicht dauerhaft mit Ihrem Computer.
► Bewahren Sie Ihre Datensicherung räumlich getrennt von Ihrem Gerät an einem geschützten Ort auf. Wenn Sie Cloud-Dienste verwenden möchten, informieren Sie sich, welchen Schutz Ihrer Daten (Transportverschlüsselung, verschlüsselte Ablage) der Cloud-Betreiber gewährleistet.
► Prüfen Sie anhand einiger Testdateien, ob die gesicherten Daten tatsächlich wiederhergestellt werden können.(jd)

Artikelbild für den Artikel "Ransomware – GermanWiper funktioniert wie NotPetya" aus der Ausgabe 35/2019 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Foto: Sergey Nivens/Shutterstock

Tipps gegen Malware

► 10 Wege, sich vor Ransomware zu schützen
www.cowo.de/3322651

► FAQ Malware: Was ist ein Computervirus?
www.cowo.de/3547429

► Troldesh, Cryptomix und WannaCry – Ransomware ist zurück
www.cowo.de/3547295

► FAQ Cyber-Versicherung: IT-Risiken richtig versichern
www.cowo.de/3546440

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 35/2019 von Bosch setzt auf vernetzte Produktion und Logistik. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bosch setzt auf vernetzte Produktion und Logistik
Titelbild der Ausgabe 35/2019 von Telekom gründet eigene IoT- und Security-Töchter. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Telekom gründet eigene IoT- und Security-Töchter
Titelbild der Ausgabe 35/2019 von Joint Enterprise Defense Infrastructure (JEDI) – Trump will Vergabe des Milliarden-Projekts neu prüfen lassen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Joint Enterprise Defense Infrastructure (JEDI) – Trump will Vergabe des Milliarden-Projekts neu prüfen lassen
Titelbild der Ausgabe 35/2019 von ERP auf dem Weg zum digitalen Prozess- und Daten-Hub. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
ERP auf dem Weg zum digitalen Prozess- und Daten-Hub
Titelbild der Ausgabe 35/2019 von Wiedergeburt als Cloud-Lösung – so geht es weiter mit der OfficeLine von Sage. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Wiedergeburt als Cloud-Lösung – so geht es weiter mit der OfficeLine von Sage
Titelbild der Ausgabe 35/2019 von Wenige Anbieter dominieren den jungen RPA-Markt. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Wenige Anbieter dominieren den jungen RPA-Markt
Vorheriger Artikel
Bosch setzt auf vernetzte Produktion und Logistik
aus dieser Ausgabe
Nächster Artikel Telekom gründet eigene IoT- und Security-Töchter
aus dieser Ausgabe