Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Opisi virusa, 06.08.2019, 01:30 AM

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili koristeći fišing kao taktiku, tražio od žrtava da plate otkupninu.

Malver je nazvan GermanWiper zbog napada na žrtve u Nemačkoj. Reč je o destruktivnom malveru u koji briše podatke, pre nego o ransomwareu iako traži od žrtava da plate otkupninu.

Nakon kompromitovanja računara i brisanja fajlova, GermanWiper ostavlja poruku o plaćanju otkupnine u kojoj se navodi da su podaci šifrovani i da se neće biti dešifrovani ukoliko žrtva ne prebaci 0.15038835 bitcoina na navedenu bitcoin adresu.

Čak i ako žrtva plati otkupninu, to je bačen novac jer malver ne šifruje podatke, već ih prepisuje nulama i jedinicama, i tako ih uništava.

GermanWiper se u Nemačkoj širi preko spam emailova koje navodno šalje kandidatkinja za posao Lena Kretšmer, koja šalje svoj CV.

U emailovima se nalazi zip fajl „Unterlagen_Lena_Kretschmer.zip“ koji sadrži dva PDF fajla, u kojima je navodno biografija pošiljaoca. Mešutim, ovi PDF-ovi su zapravo shortcutovi (LNK) koji izvršavaju PowerShell komandu da bi se preuzeo HTA fajl sa sajta expandingdelegation[.]top.

Kada se pokrene ovaj fajl, on će preuzeti ransomware i sačuvati ga u folderu C:UsersPublic. Kada se GermanWiper pokrene, on će najpre prekinuti procese povezane sa bazom podataka i drugim softverom tako da može pristupiti fajlovima i obrisati ih.

Zatim skenira sistem tražeći fajlove koje će uništiti. Pri brisanju fajlova, malver preskače fajlove koji imaju određena imena, ekstenzije ili se nalaze u određenim folderima. Razlog za njihovo preskakanje je taj što su od suštinskog značaja za pravilno podizanje Windowsa i za pregledavanje interneta.

Uništavanje podataka vrši se prepisivanjem njegovog sadržaja nulama.

Da bi izgledalo kao da se dogodio proces šifrovanja, nazivu svakog fajla se dodaje ekstenzija od 5 nasumično izabranih karaktera, kao što su .08kJA, .AVco3 ili .Fi2Ed.

Nakon dovršetka postupka brisanja, GermanWiper takođe uklanja shadow volume kopije i onemogućava automatsko popravljanje prilikom pokretanja.

Malver takođe kreira poruku o otkupnini pod nazivom Fi2Ed_Entschluesselungs_Anleitung.html koja se automatski otvara na kraju postupka brisanja. Ovde žrtve pronalaze uputstvo o uplati 0.15038835 bitcoina, što je otprilike 1600 dolara, na navedenu bitcoin adresu.

Na radnoj povrišini je i pozadina malvera na kojoj piše na nemačkom da žrtva treba da otvori Fi2Ed_Entschluesselungs_Anleitung.html da bi saznala kako da dešifruje fajlove.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu s... Dalje

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "za... Dalje

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje