Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Der Erpressungs-Trojaner kommt per Fake-Bewerbung. bild: cert-bund

«GermanWiper»: Deutschland warnt vor zerstörerischem Trojaner, der alle Daten löscht

Sicherheitsexperten warnen vor einem besonders perfiden Erpressungs-Trojaner mit dem Namen «GermanWiper». Die Ransomware verlangt Lösegeld – doch die Daten sind trotzdem für immer verloren.



Ein Artikel von

T-Online

Das Computer Emergency Response Team (CERT-Bund) des deutschen Bundesamts für Sicherheit in der Informationstechnik warnt derzeit vor dem Erpressungstrojaner «GermanWiper».

Die Schadsoftware zeigt dabei eine Lösegeldforderung. Doch wer dieser nachkommt, wird trotzdem nicht wieder auf seine Daten zugreifen können: Denn im Gegensatz zu anderen Erpressungstrojanern verschlüsselt «GermanWiper» nicht die Daten seiner Opfer, sondern überschreibt sie mit Nullen und ändert die Dateiendungen.

Die Kriminellen wissen nur zu gut, dass Menschen aus Neugier eine «versehentlich» erhaltene Bewerbung anschauen wollen.

Bewerbung im Namen von «Lena Kretschmer»

Die Schadsoftware versteckt sich im Anhang einer gefälschten Bewerbungs-E-Mail. Als Absenderin nennt der CERT-Bund auf Twitter «Lena Kretschmer». Der Name kann sich aber jederzeit ändern.

Die Bewerbung zeigt dabei keine sprachlichen Auffälligkeiten. Wer den Anhang der Mail herunterlädt und öffnet, startet einen Befehl, der «GermanWiper» auf den Rechner des Opfers lädt. Der Trojaner zirkuliert aktuell vor allem in Deutschland, kann sich aber jederzeit im deutschen Sprachraum, also auch in der Schweiz, ausbreiten.

Darum sollte man kein Lösegeld zahlen

Experten raten grundsätzlich davon ab, bei Infektion durch einen Erpressungstrojaner Lösegeld zu zahlen. Denn es ist nicht garantiert, dass die Angreifer die Daten entschlüsseln. Mit dem Lösegeld hilft man den Kriminellen zudem, weitere Angriffe zu finanzieren.

So kann man die Verschlüsselung aufheben

Mit etwas Glück taucht früher oder später ein Programm auf, das die Verschlüsselung des Erpressungs-Trojaners knackt. Wenn der PC von einer Schadsoftware befallen ist, kann beispielsweise das «No More Ransom Project» von Europol helfen. Hier bieten Sicherheitsexperten Entschlüsselungsprogramme für verschiedene Trojaner. Hier geht es zur Website.

Im schlimmsten Fall sollten Nutzer den Rechner neu aufsetzen. Im Vorteil ist, wer regelmässig Back-ups von wichtigen Daten erstellt. Insbesondere Firmen brauchen nicht nur Back-ups, sondern auch Übung, wie sie die Systeme im Notfall rasch wieder herstellen können. Ansonsten kann der ganze Betrieb für Tage oder Wochen lahmgelegt sein, was Ende Juli die Schweizer Haustechnik-Firma Meier Tobler zu spüren bekam.

Auch die Kantonspolizei Zürich warnt derzeit ausdrücklich vor Erpressungssoftware und Cyberattacken gegen Schweizer Firmen und Privatpersonen. Dass es von der Grossbank über das Spital bis zur Kleinstfirma und Privatperson alle treffen kann, zeigt das Beispiel des deutschen Technologie-Portals Heise. Anfang Juni schilderte das Tech-Portal in einem lesenswerten Artikel, wie das eigene Firmennetzwerk vom besonders zerstörerischen Trojaner Emotet befallen wurde – und wie schwierig der Kampf gegen moderne Trojaner ist.

(oli/avr/t-online.de)

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Die bösartigsten Computer-Attacken aller Zeiten

«Wo finde ich jetzt dieses internet.ch?» – Eltern und Technik

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

12
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
12Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Supermonkey 06.08.2019 15:12
    Highlight Highlight Wichtig zu erwähnen, dass dies wieder mal nur ein Windowsproblem ist...
  • Quacksalber 06.08.2019 11:15
    Highlight Highlight Hilfreicher als die dauernden Ermahnungen „aufzupassen“ wären Antworten wie man sich schützen kann.
    Gibt es kein Mailprogramm welches als Voreinstellung Attachments in einem geschützten Bereich startet?
    Nützt es etwas, wenn man die Festplatte und alle Datenträger mit Bitlocker verschlüsselt?
    • Skinny bad boy James aka weissnonigsegedihr 06.08.2019 15:51
      Highlight Highlight Festplatte verschlüsselung nützt nichts, da die festplatte während des Betriebs "unverschlüsselt" ist.

      Am Einfachsten wäre es eine Virtuelle Maschine zu nehmen falls man ein unbekanntes Attachement öffnen möchte.

      Es gibt natürlich x-Tausende Schutzmechanismen. -Was davon praktikabel ist und wirklich etwas bringt, da teilen sich die Geister.

      m.M.n. Ist aufpassen Schutz Nr.1 ansonsten getrennte backups welche Helfen ein PC halt neu zu installieren.

  • Asmodeus 05.08.2019 13:02
    Highlight Highlight "Die Bewerbung zeigt dabei keine sprachlichen Auffälligkeiten."

    Davon abgesehen, dass der Text sich nicht auf eine explizite Stelle bewirbt, der Bewerbungstext absolut nichtssagend und das verwendete Foto offensichtlich aus dem Internet stammt.

    Aber ja. Ich spreche hier aus der Sicht eines langjährigen Informatikers der Erfahrung darin hat solche Fakes zu durchschauen.

    Ein 0815-Bürogummi (Auf die solche Tricks ausgerichtet sind) fällt darauf rein.

    Ich frage mich allerdings wieso man Firmen attackiert mit einer Datei die LOKAL Daten löscht? Was ist mit Netzlaufwerken?
    • Asmodeus 05.08.2019 13:45
      Highlight Highlight Respektive weitere Frage. Funktioniert der Trojaner überhaupt wenn man keine lokalen Adminrechte besitzt?

      Mir kommt das Ganze ein wenig spanisch vor.


      Wobei.... viele KMUs sind organisch gewachsen und haben keine Ahnung von IT-Strukturen (Netzlaufwerke, Backups, Berechtigungsmanagement etc.)


      Vergesst meine Fragen wieder. Die kleinen dürften die besten Ziele sein.
    • Ueli der Knecht 06.08.2019 13:42
      Highlight Highlight "Ein 0815-Bürogummi (Auf die solche Tricks ausgerichtet sind) fällt darauf rein."

      Auch der 0815 erhält mindestens eine Warnung, die er wegklicken muss, bevor da irgendwas, wenn überhaupt, aktiv werden kann.
    • Ueli der Knecht 06.08.2019 15:39
      Highlight Highlight "Bitdefender ist ein rumänischer Hersteller von Antiviren-Programmpaketen"...
      https://de.wikipedia.org/wiki/Bitdefender

      Wieso sollte man einer rumänischen Firma vertrauen? Da kann man doch auch gleich Kapersky nehmen, oder Norton/Symantec, oder McAfee, oder ....

      Es ist schon schwierig genug, Microsoft zu vertrauen. Da hat man vielleicht keine andere Wahl. Das ist genug. Windows Defender ist ein eingebauter Virenschutz. Da braucht es keinen weiteren Virenschutz dazu.

      Die meisten Virenschutzprogramme spähen auch auch alle verschlüsselten Verbindungen im Klartext aus. Ziemlich viel Vertrauen.
    Weitere Antworten anzeigen
  • Normi 05.08.2019 12:29
    Highlight Highlight Eine Bewegung mit ZIP Datei?
    • Arthur Philip Dent 05.08.2019 13:04
      Highlight Highlight Wenigstens bin ich nicht der einzige, der heute in den Watson-Kommentaren mit der Autokorrektur zu kämpfen hat 😅
    • Arthur Philip Dent 05.08.2019 13:10
      Highlight Highlight Zum Thema: klar, das ist eben eine besonders gute Bewerbung, mit zig Drillionen tollen Zeugnissen und Diplomen... Das kannst du doch nicht in 100 PDFs an ein Mail hängen. ;)
    • Sarkasmusdetektor 05.08.2019 13:14
      Highlight Highlight Im Zip wird wohl ein Word-Dokument sein, das dann als erste mal dazu auffordert, Makros zu aktivieren.

Anonymous schlägt zu und stiftet Chaos in Chat-Gruppe von Corona-Verschwörungstheoretikern

Letzte Woche hat das Hacker-Kollektiv Anonymous einen Webserver von Corona-Verschwörungstheoretiker Attila Hildmann gehackt und weitere Aktionen angedeutet. Nun ist es bereits passiert.In der Nacht auf Mittwoch flogen plötzlich knapp 2200 Aluhüte aus dem sogenannten «Demokratenchat», einer von Verschwörungstheoretikern genutzten Chat-Gruppe bei Telegram. Die Netzaktivisten erbeuteten zudem Text- und Sprachnachrichten aus dem internen Admin-Chat von Hildmann und seinen Unterstützern. Diese …

Artikel lesen
Link zum Artikel