zurück zum Artikel

Erpressungstrojaner GermanWiper löscht Daten

Erpressungstrojaner GermanWiper löscht Daten

(Bild: WolfBlur / Pixabay )

Lösegeld hilft nicht: Wer den GermanWiper aktiviert, dessen Daten werden nicht etwa wiederherstellbar verschlüsselt, sondern endgültig mit Nullen überschrieben.

CERT-Bund, das Notfallteam des BSI, warnt aktuell vor einer besonders perfiden Ransomware-Variante: Das an ein vermeintliches Bewerbungsschreiben [1] angehängte Zip-Archiv enthält mitnichten den Lebenslauf als Word-Dokument, sondern eine Windows-Link-Datei. Diese startet beim Klick die Powershell in Windows, um die eigentliche Malware von einem Server nachzuladen [2]. Die Bewerbungsmail verwendet verschiedene Namen und Absenderdomains, sodass sich die Malware daran nicht zuverlässig erkennen lässt. Sprachlich gibt die Mail kaum Anlass zum Argwohn. Soweit nichts Neues.

Aber wer den GermanWiper getauften Trojaner [3] arglos aktiviert, der verliert Daten dauerhaft: Statt sie aufwendig zu verschlüsseln, überschreibt die Malware Dateien mit Nullen und ändert die Dateiendung, bevor sie die Lösegeldforderung anzeigt. Der sollte man auf gar keinen Fall nachkommen. Der einzige Schlüssel zum Wiederherstellen der Daten ist das eigene Backup, nachdem man den PC gesäubert hat.

Schutz vor Erpressungstrojanern

Erpressungstrojaner GermanWiper löscht Daten

(Bild: TeroVesalainen)

Was ist der Unterschied zwischen Krypto-Miner und Ransomware? Und wie sicher man Windows ab? Antworten auf die wichtigsten Fragen zu Schadsoftware.

mehr anzeigen

(ea [5])


URL dieses Artikels:
http://www.heise.de/-4487825

Links in diesem Artikel:
[1] https://twitter.com/certbund/status/1157246114678169600
[2] https://dissectingmalwa.re/tfw-ransomware-is-only-your-side-hustle.html
[3] https://www.heise.de/thema/Ransomware
[4] https://www.heise.de/select/ct/2018/13/1529287695005421
[5] mailto:ea@ct.de