Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati
Opisi virusa, 06.08.2019, 01:30 AM

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili koristeći fišing kao taktiku, tražio od žrtava da plate otkupninu.
Malver je nazvan GermanWiper zbog napada na žrtve u Nemačkoj. Reč je o destruktivnom malveru u koji briše podatke, pre nego o ransomwareu iako traži od žrtava da plate otkupninu.
Nakon kompromitovanja računara i brisanja fajlova, GermanWiper ostavlja poruku o plaćanju otkupnine u kojoj se navodi da su podaci šifrovani i da se neće biti dešifrovani ukoliko žrtva ne prebaci 0.15038835 bitcoina na navedenu bitcoin adresu.
Čak i ako žrtva plati otkupninu, to je bačen novac jer malver ne šifruje podatke, već ih prepisuje nulama i jedinicama, i tako ih uništava.
GermanWiper se u Nemačkoj širi preko spam emailova koje navodno šalje kandidatkinja za posao Lena Kretšmer, koja šalje svoj CV.
U emailovima se nalazi zip fajl „Unterlagen_Lena_Kretschmer.zip“ koji sadrži dva PDF fajla, u kojima je navodno biografija pošiljaoca. Mešutim, ovi PDF-ovi su zapravo shortcutovi (LNK) koji izvršavaju PowerShell komandu da bi se preuzeo HTA fajl sa sajta expandingdelegation[.]top.
Kada se pokrene ovaj fajl, on će preuzeti ransomware i sačuvati ga u folderu C:UsersPublic. Kada se GermanWiper pokrene, on će najpre prekinuti procese povezane sa bazom podataka i drugim softverom tako da može pristupiti fajlovima i obrisati ih.
Zatim skenira sistem tražeći fajlove koje će uništiti. Pri brisanju fajlova, malver preskače fajlove koji imaju određena imena, ekstenzije ili se nalaze u određenim folderima. Razlog za njihovo preskakanje je taj što su od suštinskog značaja za pravilno podizanje Windowsa i za pregledavanje interneta.
Uništavanje podataka vrši se prepisivanjem njegovog sadržaja nulama.
Da bi izgledalo kao da se dogodio proces šifrovanja, nazivu svakog fajla se dodaje ekstenzija od 5 nasumično izabranih karaktera, kao što su .08kJA, .AVco3 ili .Fi2Ed.
Nakon dovršetka postupka brisanja, GermanWiper takođe uklanja shadow volume kopije i onemogućava automatsko popravljanje prilikom pokretanja.
Malver takođe kreira poruku o otkupnini pod nazivom Fi2Ed_Entschluesselungs_Anleitung.html koja se automatski otvara na kraju postupka brisanja. Ovde žrtve pronalaze uputstvo o uplati 0.15038835 bitcoina, što je otprilike 1600 dolara, na navedenu bitcoin adresu.
Na radnoj povrišini je i pozadina malvera na kojoj piše na nemačkom da žrtva treba da otvori Fi2Ed_Entschluesselungs_Anleitung.html da bi saznala kako da dešifruje fajlove.

Izdvojeno
Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a
.jpg)
Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje
Novi malver koji krade lozinke širi se preko YouTube-a
.jpg)
Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje
Novi malver MassJacker krije se u piratskom softveru
.jpg)
Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje
Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje
BlackLock je nova opasna ransomware banda

Istraživači iz kompanije za sajber bezbednost Reliaqest upozoravaju na ekstremno opasnu ransomware bandu BlackLock koja se pojavila u martu prošle ... Dalje
Pratite nas
Nagrade