Experten warnen vor neuer Malware 05.08.2019, 13:48 Uhr

Ransomware GermanWiper vernichtet Daten und will trotzdem Lösegeld

Ransomware verschlüsselt Nutzerdaten und verlangt eine Zahlung, um sie wieder nutzbar zu machen. Der neue Typus GermanWiper ist noch aggressiver und macht Dateien gänzlich unbrauchbar. Experten des BSI warnen.

Daten wegfegen

Alle Daten weg: Dann kann es sein, dass GermanWiper bei Ihnen am Werk war.

Foto: panthermedia.net/lightsource

Das IT-Notfallteam Cert-Bund (Computer Emergency Response Team des Bundes), das zum BSI (Bundesministerium für Sicherheit in der Informationstechnik) gehört, warnt vor einem neuen Fall von Ransomware mit der Bezeichnung GermanWiper. Unter einem „Wipe“ versteht man nicht das ungefragte Wischen der Windschutzscheibe im Stau. In der IT bezeichnet es ein unwiederbringliches Entfernen eines Datensatzes – und genau das unterscheidet GermanWiper von üblicher Ransomware.

GermanWiper lächelt den Nutzer zunächst an

Ähnlich wie vergangene Ransomware-Typen verbreitet sich auch GermanWiper über unverdächtige Anhänge im Mail-Postfach. Das Cert-Bund gibt bekannt, dass eine der Erscheinungsformen wie das Bewerbungsschreiben einer gewissen Lena Kretschmer aussieht. Mit einem sauberen Sprachbild unterscheidet sich GermanWiper auch dahingehend von der Konkurrenz, die oftmals krude oder ungewollt komisch anmutet.

Top Stellenangebote

Zur Jobbörse
Hochschule Esslingen - University of Applied Sciences-Firmenlogo
Professor:in (W2) für das Lehrgebiet "Grundlagen der Elektrotechnik/ Elektronik und Mikrocontrollertechnik" Hochschule Esslingen - University of Applied Sciences
Esslingen am Neckar Zum Job 
Hochschule Düsseldorf University of Applied Sciences-Firmenlogo
Professur (W2) "Produktentwicklung und Additive Fertigung" Hochschule Düsseldorf University of Applied Sciences
Düsseldorf Zum Job 
Volksbank eG-Firmenlogo
Abteilungsleiter (m/w/d) Gebäudemanagement, Verwaltung und Versorgung Volksbank eG
Wolfenbüttel Zum Job 
Hochschule Merseburg-Firmenlogo
Professur (W2): Steuerungstechnik Hochschule Merseburg
Merseburg Zum Job 
Westsächsische Hochschule Zwickau (FH)-Firmenlogo
Laboringenieur (m/w/d) für Digitale Schaltungen, Mikroprozessortechnik, Nachrichtentechnik, Elektromagnetische Verträglichkeit Westsächsische Hochschule Zwickau (FH)
Zwickau Zum Job 
Technische Hochschule Mittelhessen-Firmenlogo
W2-Professur mit dem Fachgebiet Biomedizinische Elektronik Technische Hochschule Mittelhessen
Gießen Zum Job 
Universität Stuttgart-Firmenlogo
W3-Professur "Kraftfahrzeugmechatronik" Universität Stuttgart
Stuttgart Zum Job 
Model AG-Firmenlogo
Prozessingenieur Verfahrenstechnik in der Papierherstellung (a) Model AG
Niedergösgen (Schweiz) Zum Job 
Christoph Schnorpfeil GmbH & Co. KG-Firmenlogo
Bauabrechner (m/w/d) Christoph Schnorpfeil GmbH & Co. KG
Christoph Schnorpfeil GmbH & Co. KG-Firmenlogo
Bauleiter (m/w/d) Christoph Schnorpfeil GmbH & Co. KG
Christoph Schnorpfeil GmbH & Co. KG-Firmenlogo
Kalkulator (m/w/d) Christoph Schnorpfeil GmbH & Co. KG
Brandenburgischer Landesbetrieb für Liegenschaften und Bauen-Firmenlogo
Sachbearbeiter/in für Elektrotechnik (m/w/d) im Geschäftsbereich Baumanagement Bund Brandenburgischer Landesbetrieb für Liegenschaften und Bauen
Frankfurt (Oder) Zum Job 
Brandenburgischer Landesbetrieb für Liegenschaften und Bauen-Firmenlogo
Sachbearbeiter/in für Elektrotechnik (m/w/d) im Baubereich Bundesbau Brandenburgischer Landesbetrieb für Liegenschaften und Bauen
Potsdam Zum Job 
Brandenburgischer Landesbetrieb für Liegenschaften und Bauen-Firmenlogo
Ingenieur/innen für Tiefbau (m/w/d) im Baubereich Bundesbau Brandenburgischer Landesbetrieb für Liegenschaften und Bauen
Brandenburgischer Landesbetrieb für Liegenschaften und Bauen-Firmenlogo
Technische/r Sachbearbeiter/in für Tiefbau (m/w/d) im Baubereich Bund Brandenburgischer Landesbetrieb für Liegenschaften und Bauen
Potsdam Zum Job 
THD - Technische Hochschule Deggendorf-Firmenlogo
Professor/Professorin (m/w/d) für das Lehrgebiet "Nachhaltige Baukonstruktion und Produktmanagement" THD - Technische Hochschule Deggendorf
Pfarrkirchen Zum Job 
Frankfurt University of Applied Sciences-Firmenlogo
Professur (W2) Mathematik in den Ingenieurwissenschaften Frankfurt University of Applied Sciences
Frankfurt am Main Zum Job 
Stadtwerke Lübeck Gruppe-Firmenlogo
Projektleiter:in Digitalisierung der Netze Stadtwerke Lübeck Gruppe
Lübeck Zum Job 
Landesregierung Brandenburg-Firmenlogo
Architekten/in (m/w/d) Hochbau oder Bauingenieur/in (m/w/d) Hochbau für den Landesbau Landesregierung Brandenburg
Frankfurt (Oder) Zum Job 
Bundesagentur für Arbeit-Firmenlogo
Technische/-r Berater/-in (w/m/d) Bundesagentur für Arbeit
Münster, Rheine, Coesfeld Zum Job 

Stattdessen hängen der Mail  „Arbeitszeugnisse, Lebenslauf, Bewerbungsfoto“ an. Tatsächlich ist ein Bewerbungsfoto in die Mail eingebunden, auf dem eine junge Dame den Leser freundlich anstrahlt. Mit einem generischen Anschreiben umgehen die Macher von GermanWiper den gängigen Rat von IT-Experten, niemals unerwartete Anhänge zu öffnen.

GermanWiper – eine besonders freche Ransomware

Malware des Typs Ransomware geht für gewöhnlich sehr aggressiv vor: Wenn der nichtsahnende Nutzer die Schadsoftware aktiviert, verschlüsselt diese weite Teile der Festplatte oder SSD des Rechners. Dafür reicht es schon, den unschuldig aussehenden Anhang einer obskuren Mail doppelzuklicken. Die Verschlüsselung macht die Daten ohne den passenden Schlüssel unbrauchbar. Wer den Schaden hat, braucht für den Spott nicht zu sorgen: Die Software bietet „freundlicherweise“ gegen Zahlung einer üppigen Summe per Kryptowährung den Schlüssel an. Doch Experten warnen: Eine Zahlung garantiert noch längst keine Umkehr der Verschlüsselung.

GermanWiper funktioniert weniger subtil: Statt die Daten zu verschlüsseln, ersetzt es sämtliche einer Datei zugrundeliegenden Zeichen durch Nullen. Ein Textdokument mit einer Dateigröße von 25 Kilobyte zum Beispiel besteht aus etwa 25.000 Zeichen. Viele davon kodieren die für den Nutzer unsichtbaren Eigenschaften des Dokuments und komplexere Funktionen wie Tabellen oder Kommentare. Hinzu kommt der eigentliche Inhalt, der auf dem Bildschirm lesbar ist. Ersetzt GermanWiper all diese Zeichen durch 25.000 Nullen, geht nicht nur der Text irreversibel verloren, sondern auch alles, was die Datei zu einem Textdokument macht. Trotzdem hinderte die Macher von GermanWiper das nicht daran, eine Lösegeldforderung einzubauen, die nichts bewirken kann.

Regelmäßige Backups bieten Schutz vor Ransomware

Ransomware war in der Vergangenheit ein häufiges Phänomen. Das Ziel sind gewöhnlich Maschinen, die wichtige Daten speichern, aber keine regelmäßigen externen Backups genießen. Die Initiative „No More Ransom“, die unter anderem von der Europol geleitet wird, stellt auf ihrer Seite eine kurze Anleitung auf, mit der sich künftige Ransomware-Katastrophen verhindern lassen. Als wichtigsten Rat geben die Experten mit, regelmäßig Daten zu sichern. Dazu bietet sich eine Cloud oder eine externe Festplatte an – oder beides parallel. Wichtig ist bei letzterer, dass sie nicht permanent am Rechner hängt, denn sonst könnte ein Angriff sie ebenso verschlüsseln. Ein Nutzer, der seine Dokumente extern abgelegt hat, kann im Fall einer Infektion einfach seinen Rechner neu aufsetzen und die Ransomware verliert ihre Macht.

Darüber hinaus empfiehlt die Europol robuste Antivirensoftware, die auch auf experimentelle Muster reagiert. Das kann zwar zu mehr falschen Positiven führen, aber könnte im Ernstfall ein neuartiges Virus erkennen. Zudem betont No More Ransom die Wichtigkeit von Betriebssystem-Updates. Dateiendungen sichtbar zu machen, hilft, zu erkennen, ob es sich um eine ausführbare Datei handelt, die Code injizieren kann, etwa .exe, .vbs und .scr. Aneinandergekettete Endungen seien nicht unüblich. Generell rät die Europol, niemandem zu trauen, da Kriminelle grundsätzlich versuchen würden, über gewonnenes Vertrauen Nutzer dazu zu bewegen, Anhänge anzuklicken. Und falls doch etwas schiefgeht: Rechner vom Netz trennen – das verhindere eine weitere Ausbreitung der Malware.

Ein Beitrag von:

  • Dawid Gryndzieluk

    Dawid Gryndzieluk war Volontär bei den VDI nachrichten.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.