Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Opisi virusa, 06.08.2019, 01:30 AM

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili koristeći fišing kao taktiku, tražio od žrtava da plate otkupninu.

Malver je nazvan GermanWiper zbog napada na žrtve u Nemačkoj. Reč je o destruktivnom malveru u koji briše podatke, pre nego o ransomwareu iako traži od žrtava da plate otkupninu.

Nakon kompromitovanja računara i brisanja fajlova, GermanWiper ostavlja poruku o plaćanju otkupnine u kojoj se navodi da su podaci šifrovani i da se neće biti dešifrovani ukoliko žrtva ne prebaci 0.15038835 bitcoina na navedenu bitcoin adresu.

Čak i ako žrtva plati otkupninu, to je bačen novac jer malver ne šifruje podatke, već ih prepisuje nulama i jedinicama, i tako ih uništava.

GermanWiper se u Nemačkoj širi preko spam emailova koje navodno šalje kandidatkinja za posao Lena Kretšmer, koja šalje svoj CV.

U emailovima se nalazi zip fajl „Unterlagen_Lena_Kretschmer.zip“ koji sadrži dva PDF fajla, u kojima je navodno biografija pošiljaoca. Mešutim, ovi PDF-ovi su zapravo shortcutovi (LNK) koji izvršavaju PowerShell komandu da bi se preuzeo HTA fajl sa sajta expandingdelegation[.]top.

Kada se pokrene ovaj fajl, on će preuzeti ransomware i sačuvati ga u folderu C:UsersPublic. Kada se GermanWiper pokrene, on će najpre prekinuti procese povezane sa bazom podataka i drugim softverom tako da može pristupiti fajlovima i obrisati ih.

Zatim skenira sistem tražeći fajlove koje će uništiti. Pri brisanju fajlova, malver preskače fajlove koji imaju određena imena, ekstenzije ili se nalaze u određenim folderima. Razlog za njihovo preskakanje je taj što su od suštinskog značaja za pravilno podizanje Windowsa i za pregledavanje interneta.

Uništavanje podataka vrši se prepisivanjem njegovog sadržaja nulama.

Da bi izgledalo kao da se dogodio proces šifrovanja, nazivu svakog fajla se dodaje ekstenzija od 5 nasumično izabranih karaktera, kao što su .08kJA, .AVco3 ili .Fi2Ed.

Nakon dovršetka postupka brisanja, GermanWiper takođe uklanja shadow volume kopije i onemogućava automatsko popravljanje prilikom pokretanja.

Malver takođe kreira poruku o otkupnini pod nazivom Fi2Ed_Entschluesselungs_Anleitung.html koja se automatski otvara na kraju postupka brisanja. Ovde žrtve pronalaze uputstvo o uplati 0.15038835 bitcoina, što je otprilike 1600 dolara, na navedenu bitcoin adresu.

Na radnoj povrišini je i pozadina malvera na kojoj piše na nemačkom da žrtva treba da otvori Fi2Ed_Entschluesselungs_Anleitung.html da bi saznala kako da dešifruje fajlove.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi vid... Dalje

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Posle zatišja od skoro dva meseca, botnet Emotet se vratio izmenjen i sa kampanjom koja dnevno pogađa 100 000 ciljeva. Emotet se pojavio 2014. godin... Dalje

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Veb skimer koji krade podatke sa platnih kartica sakriven na sajtovima internet prodavnica

Sezona praznične kupovine uskoro počinje, pa ne bi bilo loše imati na umu novi malver koji krade podatke sa platnih kartica, koristeći steganograf... Dalje