LOKO Online Security

Pas op voor de nieuwe ransomware genaamd: “GermanWiper”

Door 5 augustus 2019 Geen reacties

Wat is de GermanWiper?

Op 5 augustus 2019 heeft de Duitse overheid een waarschuwing gegeven voor een nieuw ransomware-exemplaar genaamd “GermanWiper” dat bestanden wist en vervangt door een lege versie in plaats van ze te versleutelen. Toch vraagt de ransomware 1500 dollar voor het “ontsleutelen” van de bestanden. Ter bescherming hebben wij alle LOKO Managed Firewalls voorzien van een update.

De aanval begint met een Duitstalige e-mail die als onderwerp “Ihr Stellenangebot – Bewerbung – Lena Kretschmer” heeft. Als bijlage worden er in een ZIP bestand twee bijgevoegde bestanden genaamd “Naam aanvrager”- Lebenslauf Aktuell.doc.lnk en “Naam aanvrager” – Arbeitszeugnisse Aktuell.doc.lnk meegestuurd. De bestanden zijn gemaakt om eruit te zien als Microsoft Office-documenten, maar zijn eigenlijk gewoon Windows Bestandssnelkoppelingen en kunnen eenvoudig worden ontleed met de LNK Parser @ Google Code.

Wanneer  de bestanden worden geopend wordt de randsomware actief en zoekt deze naar bestanden om te verwijderen en te overschrijven met nullen. De GermanWiper laat een “leeg” exemplaar achter, waardoor slachtoffers denken dat hun bestanden er nog zijn. Dit lege bestand krijgt, zoals bekend is bij ransomware, een andere extensie waardoor het lijkt alsof de inhoud versleuteld is met een code. Na het verwijderen van de bestanden verwijdert de malware ook de shadow volume kopieën en schakelt Windows Opstartherstel uit. Het slachtoffer krijgt de opdracht losgeld over te maken naar de aanvallers zodat zij de bestanden weer vrijgeven. DOE DIT ABSOLUUT NIET. Ontsleutelen is helaas niet mogelijk.

Vanwege de ransomware heeft het computer emergency response team van de Duitse overheid (CERT-Bund) een waarschuwing op Twitter gegeven:

De Nederlandse vertaling:

“Aanvallers sturen momenteel nep-applicaties namens “Lena Kretschmer” voor de distributie #Ransomware #GermanWiper. Open de bijlagen van de mail niet!”

Organisaties krijgen het advies om e-mails van bepaalde domeinen te blokkeren, om ervoor te zorgen dat er met andere domeinen geen verbinding kan worden gemaakt. Deze stap moet het downloaden van de malware grotendeels voorkomen. Wil je weten wat je nog meer kunt doen ter voorkoming van een ransomware besmetting, neem dan contact met onze Security Officer Arno van Rijn via onze website. Vaak is er met bestaande middelen al een flinke verbetering te behalen in jouw organisatie.

Ben jij optimaal beschermd tegen ransomware?

Vraag een gratis advies van onze Online Security experts aan.

Vraag advies aan

Laat een reactie achter