OFIS warnt: Neuer aggressiver Trojaner „GermanWiper“ im Umlauf

„Seit Ende Juli 2019 gibt es einen neuen Trojaner namens „GermanWiper“. Das Gemeine an dem neuen Trojaner ist, dass er nicht nur Daten „verschlüsselt“, sondern löscht!“, so die aktuelle Warnung von Oliver Fuhrmann vom PC-Spezialist OFIS in Leimen.

„GermanWiper“ kommt meist mit einer Mail ins Haus, die sehr vertrauenswürdig aussieht, mit perfektem deutschen Wortlaut. In vielen Fällen ist diese Mail als Bewerbung einer schönen Frau mit einer Datei im Anhang getarnt, kann aber auch mal als Rechnung z.B. eines Telefonanbieters getarnt sein. Öffnet man den Anhang (manchmal Bewerbung.zip oder Bewerbung.pdf.lnk), nimmt das Unheil seinen Lauf. Laut unseren Recherchen wird dann eine Verbindung zu externen Servern hergestellt, von denen dann zwei weitere Trojaner unerkannt aufs System geladen werden. Diese sehen sich dann selbständig auf dem PC um, befallen in erster Linie noch nicht einmal den PC selbst, sondern entscheiden dann, welche Quellen im lokalen Netzwerk stark frequentiert sind und befallen die dort enthaltenen Daten.

Oliver Fuhrmann

Die Daten werden nicht nur „verschlüsselt“, sondern mit „0x00“ überschrieben und sind somit unbrauchbar. Der Kauf eines Schlüssels zum Entschlüsseln bei den Betrügern macht die Daten auch nicht mehr fit – sie sind nicht wiederherstellbar. Die derzeit aktive Variante sorgte in Einzelfällen sogar noch dafür, dass Datensicherungen im Netzwerk unbrauchbar gemacht wurden. Die aktuelle Variante wird selbst von topaktuellen Virenscannern und Firewalls nicht erkannt und beseitigt. Man kann also mit einem einzigen Doppelklick seine gesamten Daten in Gefahr bringen.

Unsere Tipps:

Sensibilisieren Sie sich und besonders Ihre Mitarbeiter/Kollegen. Klicken Sie nicht auf unbekannte Mails mit Anhängen – direkt löschen und auch den Papierkorb im Anschluss sofort leeren!
Sollte doch jemand auf den Anhang geklickt haben, kappen Sie dessen PC sofort vom Netzwerk, in dem Sie den Stecker ziehen. Schalten Sie auch umgehend alle anderen PCs und Speicher im Netzwerk aus.
Meist soll man einen Entschlüsselungs-Key bei den Betrügern kaufen, der in Bitcoins bezahlt werden will – Nicht bezahlen! Die Bezahlung ist nie eine Garantie dafür, dass der Vorgang tatsächlich rückgängig gemacht werden kann! Sprechen Sie ggfls. mit der Polizei. Es gibt in Heidelberg/Mannheim das Dezernat „Cybercrime“, welches sich mit diesen Dingen intensiv beschäftigt.
Innerhalb der ersten 72 Stunden nach der Feststellung des Befalls muss die weitere Vorgehensweise entschieden werden. Ihr Datenschutzbeauftragter, sofern vorhanden, muss auf jeden Fall sofort darüber Bescheid wissen. Beachten Sie die Vorgaben der DSGVO.
Auf jeden Fall müssen umgehend Maßnahmen ergriffen werden – wenden Sie sich an uns, wenn Sie Hilfe benötigen.