Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Opisi virusa, 06.08.2019, 01:30 AM

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili koristeći fišing kao taktiku, tražio od žrtava da plate otkupninu.

Malver je nazvan GermanWiper zbog napada na žrtve u Nemačkoj. Reč je o destruktivnom malveru u koji briše podatke, pre nego o ransomwareu iako traži od žrtava da plate otkupninu.

Nakon kompromitovanja računara i brisanja fajlova, GermanWiper ostavlja poruku o plaćanju otkupnine u kojoj se navodi da su podaci šifrovani i da se neće biti dešifrovani ukoliko žrtva ne prebaci 0.15038835 bitcoina na navedenu bitcoin adresu.

Čak i ako žrtva plati otkupninu, to je bačen novac jer malver ne šifruje podatke, već ih prepisuje nulama i jedinicama, i tako ih uništava.

GermanWiper se u Nemačkoj širi preko spam emailova koje navodno šalje kandidatkinja za posao Lena Kretšmer, koja šalje svoj CV.

U emailovima se nalazi zip fajl „Unterlagen_Lena_Kretschmer.zip“ koji sadrži dva PDF fajla, u kojima je navodno biografija pošiljaoca. Mešutim, ovi PDF-ovi su zapravo shortcutovi (LNK) koji izvršavaju PowerShell komandu da bi se preuzeo HTA fajl sa sajta expandingdelegation[.]top.

Kada se pokrene ovaj fajl, on će preuzeti ransomware i sačuvati ga u folderu C:UsersPublic. Kada se GermanWiper pokrene, on će najpre prekinuti procese povezane sa bazom podataka i drugim softverom tako da može pristupiti fajlovima i obrisati ih.

Zatim skenira sistem tražeći fajlove koje će uništiti. Pri brisanju fajlova, malver preskače fajlove koji imaju određena imena, ekstenzije ili se nalaze u određenim folderima. Razlog za njihovo preskakanje je taj što su od suštinskog značaja za pravilno podizanje Windowsa i za pregledavanje interneta.

Uništavanje podataka vrši se prepisivanjem njegovog sadržaja nulama.

Da bi izgledalo kao da se dogodio proces šifrovanja, nazivu svakog fajla se dodaje ekstenzija od 5 nasumično izabranih karaktera, kao što su .08kJA, .AVco3 ili .Fi2Ed.

Nakon dovršetka postupka brisanja, GermanWiper takođe uklanja shadow volume kopije i onemogućava automatsko popravljanje prilikom pokretanja.

Malver takođe kreira poruku o otkupnini pod nazivom Fi2Ed_Entschluesselungs_Anleitung.html koja se automatski otvara na kraju postupka brisanja. Ovde žrtve pronalaze uputstvo o uplati 0.15038835 bitcoina, što je otprilike 1600 dolara, na navedenu bitcoin adresu.

Na radnoj povrišini je i pozadina malvera na kojoj piše na nemačkom da žrtva treba da otvori Fi2Ed_Entschluesselungs_Anleitung.html da bi saznala kako da dešifruje fajlove.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Opasni ransomware Clop sada inficira i Linux sisteme

Opasni ransomware Clop sada inficira i Linux sisteme

Istraživači iz firme SentinelOne 26. decembra primetili su prvu varijantu ransomwarea Clop (Cl0p) koja cilja na Linux sisteme. Clop se prvi put poja... Dalje

Opasni bankarski trojanac na lažnom veb sajtu aplikacije Zoom

Opasni bankarski trojanac na lažnom veb sajtu aplikacije Zoom

Hakeri koriste modifikovani program za instalaciju Zooma da bi prevarili ljude da instaliraju IcedID malver na svojim sistemima, upozorili su istraži... Dalje

Posle curenja koda Conti ransomwarea, istraživači upozoravaju na novi ransomware Putin

Posle curenja koda Conti ransomwarea, istraživači upozoravaju na novi ransomware Putin

Istraživači iz Cyble Research and Intelligence Labs (CRIL) otkrili su četiri nova ransomwarea - Putin Team, ScareCrow, BlueSky i Meow, koji su proi... Dalje

Opasna a naizgled bezazlena ekstenzija za Chrome, MS Edge i Operu krade podatke i kriptovalute

Opasna a naizgled bezazlena ekstenzija za Chrome, MS Edge i Operu krade podatke i kriptovalute

Avast je upozorio da poznati malver za Windows, ViperSoftX, instalira opasnu ekstenziju koja krade podatke u veb pretraživače bazirane na Chromiumu.... Dalje

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Istraživači Doctor Weba upozorili su potencijalne kupce i korisnike jeftinih Android telefona koji su kopije popularnih modela pametnih telefona poz... Dalje