![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Zum Wochenstart noch eine kleine Warnung. Deutsche Nutzer werden durch eine Malware mit dem Namen GermanWiper angegriffen. Diese l\u00f6scht alle erreichbaren Daten (wie Verschl\u00fcsselungstrojaner). Betroffene sollten keinesfalls zahlen, da die Dateien (auch bei Zahlung von L\u00f6segeld) nicht mehr herstellbar sind.<\/p>\n
<\/p>\n
Die Urheber der Ransomware-Kampagne versenden ein gef\u00e4lschtes Bewerbungsschreiben im Namen von \"Lena Kretschmer\". Sieht erst einmal wie eine Bewerbung aus, die Personalabteilungen h\u00e4ufig bekommen.<\/p>\n Von: Lena.Kretschmer@stadtmailer.de Sehr geehrte Damen und Herren, Mit freundlichen Gr\u00fc\u00dfen<\/p>\n Lena Kretschmer<\/p>\n Anlagen: Arbeitszeugnisse, Lebenslauf, Bewerbungsfoto<\/p><\/blockquote>\n Mit liegt nur eine recht undeutliche Abbildung der Mail aus obigem Tweet vor \u2013 die Rechtschreibung ist in Ordnung. Ich wei\u00df ja nicht, wie heutige Bewerbungen aussehen \u2013 aber diese Bewerbung w\u00e4re bei mir direkt im Papierkorb gelandet. Warum? Es wird im Anschreiben schon echt dick aufgetragen \u2013 aber die so motivierte potentiell neue Mitarbeiterin h\u00e4lt es nicht mal f\u00fcr notwendig, die Position, auf die sie sich bewirbt, im Anschreiben anzugeben. Bei kleinen Firmen mit einer offenen Stelle k\u00f6nnte ein Personalabteilungsmitarbeiter auf die Idee kommen, die Anlagen zu \u00f6ffnen. Bei Gro\u00dfunternehmen mit zig offenen Stellen, d\u00fcrfte die Bewerbung in die Kategorie 'unbrauchbar, da Mindestanforderungen erkennbar nicht erf\u00fcllt' fallen. Aber m\u00f6glicherweise irre ich mich.<\/p>\n Zur Klarstellung: Das ist jetzt eine Mail \u2013 der Name des Absenders k\u00f6nnte sich \u00e4ndern. Die Versende-Adresse stadtmailer[.]de wurde in der Ransomware-Kampagne variiert \u2013 es gibt auch Mails von rasendmail[.]com und weiteren Domains. Auch k\u00f6nnte ein variierter Text Verwendung finden. Eine weitere Variante dieser Mail mit ge\u00e4ndertem Text findet sich in dieser Analyse<\/a>.<\/p><\/blockquote>\n Sollte ein Mitarbeiter trotzdem so unvorsichtig sein und die Anlagen zur falschen Bewerbung der Lena Kretschmer \u00f6ffnen, wird der Payload aktiv und l\u00f6scht die erreichbaren Dateien. Gleichzeitig wird eine neue Datei diesen Namens mit gleicher Gr\u00f6\u00dfe, aber Nullen (0x0) und der Extension Wiper angelegt. Die urspr\u00fcngliche Datei ist also unwiderruflich verloren.<\/p>\n Gem\u00e4\u00df obigem Tweet scheint die Ransomware per Delphi geschrieben zu sein und ist wohl eine Variante von Ordinypt. In in dieser Analyse<\/a> wird noch ein wenig auf die Wirkungsweise der Ransomware eingegangen. Das Programm l\u00f6scht u.a. auch die Volumen Schattenkopien (VSS), so dass keine Wiederherstellung aus dem Dateiversionsverlauf m\u00f6glich wird.<\/p>\n Sobald GermanWiper seine Arbeit verrichtet hat, wird die obige Meldung eingeblendet. Dem Benutzer wird vorgegaukelt, dass er seine Dateien durch Zahlung von L\u00f6segeld wieder entschl\u00fcsseln kann. Da die Dateien aber unwiederbringlich gel\u00f6scht und \u00fcberschrieben wurden, ist das nicht m\u00f6glich. Hier ist der Ratschlag: Keinesfalls zahlen \u2013 das Geld ist zum Fenster rausgeworfen. Es bleibt nur noch, das Backup mit den gesicherten Dateien zur\u00fcck zu lesen.<\/p>\n ZDNet hat hier<\/a> einen englischsprachigen Beitrag zum Thema. Erste Infektionen erfolgten wohl am 30. Juli 2019. Dann gab es Wellen zum 1. und 2. August 2019. Michael Gillespie, der Betreiber der Webseite ID-Ransomware<\/a>, sagte gegen\u00fcber ZDNet, dass GermanWiper derzeit eine der f\u00fcnf aktivsten Ransomware-St\u00e4mme auf seiner Plattform ist. Auf der Webseite k\u00f6nnen Nutzer Ransomware hochladen \u2013 die Plattform erkennt inzwischen auch GermanWiper. Bei heise gibt es noch diesem deutschsprachigen Artikel<\/a> zum Thema.<\/p>\n","protected":false},"excerpt":{"rendered":" Zum Wochenstart noch eine kleine Warnung. Deutsche Nutzer werden durch eine Malware mit dem Namen GermanWiper angegriffen. Diese l\u00f6scht alle erreichbaren Daten (wie Verschl\u00fcsselungstrojaner). Betroffene sollten keinesfalls zahlen, da die Dateien (auch bei Zahlung von L\u00f6segeld) nicht mehr herstellbar sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[1018,4328,3288],"class_list":["post-221338","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-malware","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221338","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=221338"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/221338\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=221338"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=221338"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=221338"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Ich hatte es bereits zum Wochenende in diesem Tweet<\/a> gesehen. Inzwischen warnt auch CERT\/Bund vor dieser Pseudo-Ransomware mit dem Namen GermanWiper.<\/p>\n
![](\"https:\/\/i.imgur.com\/lIc9t7l.jpg\")
<\/a><\/p>\n
\nan: xxxx<\/p>\n
\nmit gro\u00dfem Interesse bin ich im Internet auf Ihre ausgeschriebene Position aufmerksam geworden. Ich m\u00f6chte mich gerne einer neuen beruflichen Herausforderung stellen. Mit mir gewinnt Ihr Unternehmen einen leistungsbereiten Mitarbeiter. Ich widme mich meinen neuen Aufgaben und Herausforderungen stets mit gro\u00dfer Motivation und vollem Einsatz. Einen Einstieg bei Ihnen zum n\u00e4chstm\u00f6glichen Zeitpunkt steht nichts entgegen. Gerne gebe ich Ihnen einen weiteren Eindruck in einem pers\u00f6nlichen Gespr\u00e4ch. Ich freue mich \u00fcber Ihre Einladung<\/p>\nEine Wiper-Ransomware<\/h2>\n
![](\"https:\/\/i.imgur.com\/bFGRjmY.jpg\")
<\/a><\/p>\n![\"GermanWiper-Meldung\"](\"https:\/\/pbs.twimg.com\/media\/EA9e2lEX4AEo-T5?format=png&name=small\" "\\"GermanWiper-Meldung\\"")