GermanWiper: Neuer Trojaner löscht Daten

In diesen Tagen ist ein neuer Erpressungstrojaner namens GermanWiper aktiv. Wie bei den bisher bekannten Ransomware-Varianten Locky, Petya & Co erhält das Opfer zwar auch eine Lösegeldforderung, doch sind die Daten dann bereits komplett gelöscht statt verschlüsselt.

Die Schadsoftware erreicht ihre Opfer als vermeintliche Bewerbungs-E-Mail, z.B. von den Absenderinnen Lena Kretschmer oder Doris Sammer. Es kursieren aber noch weitere Namen und unterschiedliche Absender-Domains, so dass die Bedrohung hieran nicht eindeutig zu erkennen ist. Auch sprachlich gibt es keine besonderen Auffälligkeiten, die Mail erweckt den Anschein einer normalen und glaubwürdigen Bewerbung.

Lädt man das angehängte Zip-Archiv herunter und öffnet die darin befindliche Word-Datei, startet der Trojaner sein zerstörerisches Werk und lässt sich nicht mehr stoppen. Die neue Qualität von GermanWiper im Vergleich zu den bisherigen Varianten der Erpressungstrojaner besteht darin, dass er nur vorgibt die Dateien auf dem Rechner zu verschlüsseln. Tatsächlich aber löscht er sie und überschreibt sie mit leeren Dateien.

Nachdem der Zerstörungsprozess beendet ist, erscheint zwar eine Meldung, in der die Zahlung eines Lösegeldes gefordert wird. Doch keine Zahlung kann die Daten wieder herstellen. Sie sind ein für alle Mal verloren. Hier kann nur die Wiederherstellung aus einem zuvor gemachten Backup Abhilfe schaffen.

Sicherheitsexperten raten, der Lösegeldforderung in keinem Fall nachzukommen, sondern sich an die Polizei zu wenden. Die Angreifer haben es vornehmlich auf Unternehmensnetzwerke abgesehen und schleusen ihren Schädling daher getarnt als Bewerbungen ein.

Auch wenn es zunehmend schwierig wird, derartige E-Mails als potentiell schädlich zu erkennen, sollte man immer wachsam sein und eine Mail genau prüfen, bevor man einen Anhang öffnet.