Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Opisi virusa, 06.08.2019, 01:30 AM

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili koristeći fišing kao taktiku, tražio od žrtava da plate otkupninu.

Malver je nazvan GermanWiper zbog napada na žrtve u Nemačkoj. Reč je o destruktivnom malveru u koji briše podatke, pre nego o ransomwareu iako traži od žrtava da plate otkupninu.

Nakon kompromitovanja računara i brisanja fajlova, GermanWiper ostavlja poruku o plaćanju otkupnine u kojoj se navodi da su podaci šifrovani i da se neće biti dešifrovani ukoliko žrtva ne prebaci 0.15038835 bitcoina na navedenu bitcoin adresu.

Čak i ako žrtva plati otkupninu, to je bačen novac jer malver ne šifruje podatke, već ih prepisuje nulama i jedinicama, i tako ih uništava.

GermanWiper se u Nemačkoj širi preko spam emailova koje navodno šalje kandidatkinja za posao Lena Kretšmer, koja šalje svoj CV.

U emailovima se nalazi zip fajl „Unterlagen_Lena_Kretschmer.zip“ koji sadrži dva PDF fajla, u kojima je navodno biografija pošiljaoca. Mešutim, ovi PDF-ovi su zapravo shortcutovi (LNK) koji izvršavaju PowerShell komandu da bi se preuzeo HTA fajl sa sajta expandingdelegation[.]top.

Kada se pokrene ovaj fajl, on će preuzeti ransomware i sačuvati ga u folderu C:UsersPublic. Kada se GermanWiper pokrene, on će najpre prekinuti procese povezane sa bazom podataka i drugim softverom tako da može pristupiti fajlovima i obrisati ih.

Zatim skenira sistem tražeći fajlove koje će uništiti. Pri brisanju fajlova, malver preskače fajlove koji imaju određena imena, ekstenzije ili se nalaze u određenim folderima. Razlog za njihovo preskakanje je taj što su od suštinskog značaja za pravilno podizanje Windowsa i za pregledavanje interneta.

Uništavanje podataka vrši se prepisivanjem njegovog sadržaja nulama.

Da bi izgledalo kao da se dogodio proces šifrovanja, nazivu svakog fajla se dodaje ekstenzija od 5 nasumično izabranih karaktera, kao što su .08kJA, .AVco3 ili .Fi2Ed.

Nakon dovršetka postupka brisanja, GermanWiper takođe uklanja shadow volume kopije i onemogućava automatsko popravljanje prilikom pokretanja.

Malver takođe kreira poruku o otkupnini pod nazivom Fi2Ed_Entschluesselungs_Anleitung.html koja se automatski otvara na kraju postupka brisanja. Ovde žrtve pronalaze uputstvo o uplati 0.15038835 bitcoina, što je otprilike 1600 dolara, na navedenu bitcoin adresu.

Na radnoj povrišini je i pozadina malvera na kojoj piše na nemačkom da žrtva treba da otvori Fi2Ed_Entschluesselungs_Anleitung.html da bi saznala kako da dešifruje fajlove.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Istraživači sajber bezbednosti iz AT&T Alien Labsa otkrili su novi sofisticirani malver pod nazivom JaskaGO, napravljen u programskom jeziku Go ... Dalje