Erpressungstrojaner GermanWiper löscht Daten statt sie zu verschlüsseln

Wer den GermanWiper getauften Trojaner aktiviert, in dem er ein vermeintliches Bewerbungsschreiben in Form eines Word-Dokumentes in einem ZIP-Archiv öffnet, der verliert Daten dauerhaft: Dieses startet beim Klick die Powershell in Windows, um die eigentliche Malware von einem Server nachzuladen. Statt aufwendig zu verschlüsseln, überschreibt die Malware Dateien mit Nullen und ändert die Dateiendung, bevor sie die Lösegeldforderung anzeigt. Dieser sollte man auf gar keinen Fall nachkommen. Die einzige Möglichkeit zum Wiederherstellen der Daten ist das eigene Backup, nachdem man den PC gesäubert hat.

Die Bewerbungsmail verwendet verschiedene Namen und Absenderdomains, sodass sich die Malware daran nicht zuverlässig erkennen lässt. Auch die verwendeten Formulierungen im Inhalt wirken unverdächtig.

Photo by Michael Geiger on Unsplash