Das CERT-Bund und damit auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer besonders bösartigen neuen Malware: „GermanWiper“ arbeitet wie Ransomware, überschreibt aber Daten gleich mit Nullen, statt sie „nur“ zu verschlüsseln.
Lösegeld zu zahlen ist mithin keine Lösung, wenn man sich diesen digitalen Schädling auf dem Rechner eingefangen hat. Von GermanWiper gelöschte Daten lassen sich nur aus einem Backup wiederherstellen – Sie haben hoffentlich ein halbwegs aktuelles?
GermanWiper verbreitet sich laut „heise Security“ über ein vermeintliches Bewerbungsschreiben, das in unauffällig korrektem Deutsch abgefasst ist. Bei genauerem Hinsehen könnte allerdings stutzig machen, dass erstens die angebliche Absenderin nicht die Position nennt, auf die sie sich konkret bewirbt, und sie sich zweitens nicht als „eine leistungsbereite Mitarbeiterin“ beschreibt – wir haben schließlich 2019 …
Name und Absender-Domain wechseln, sodass sich die Schadsoftware daran nicht zuverlässig erkennen lässt. Das an die Mail angehängte Zip-Archiv enthält nicht den angekündigten Lebenslauf als Word-Datei, sondern stattdessen einen Windows-Link, der beim Anklicken die PowerShell startet und darüber den eigentlichen Schadcode nachlädt.
Genau aufgrund dieses Mechanismus brauchen Kunden von Retarus Email Security den GermanWiper nicht zu fürchten. Falls sie nicht ohnehin den Attachment Blocker bereits so konfiguriert haben, dass angehängte Archivdateien gar nicht erst in den Posteingang durchgelassen werden, würde das Zip spätestens beim Sandbox-Test als bösartig enttarnt. Voraussetzung dafür wäre die Nutzung unserer Advanced Threat Protection (ATP), die noch eine ganze Reihe weiterer zeitgemäßer Schutzmechanismen beinhaltet. Mehr Informationen bekommen Sie bei Interesse auf unserer Website oder direkt von Ihrem Ansprechpartner vor Ort.