image

Duitse overheid waarschuwt voor ransomware die bestanden wist

maandag 5 augustus 2019, 10:59 door Redactie, 4 reacties

De Duitse overheid heeft een waarschuwing gegeven voor een nieuw ransomware-exemplaar genaamd "GermanWiper" dat bestanden wist en vervangt door een lege versie in plaats van ze te versleutelen. Toch vraagt de ransomware 1500 dollar voor het "ontsleutelen" van de bestanden.

De aanval begint met een Duitstalige e-mail die als onderwerp "Ihr Stellenangebot - Bewerbung - Lena Kretschmer" heeft. Als bijlage is het bestand Unterlagen_Lena_Kretschmer.zip meegestuurd. Dit zip-bestand bevat weer twee LNK-bestanden die wanneer geopend de malware op het systeem downloaden en uitvoeren. Eenmaal actief zoekt de "ransomware" naar bestanden die het verwijdert en overschrijft met nullen. De ransomware laat een "leeg" exemplaar, waardoor slachtoffers denken dat hun bestanden er nog zijn. Dit lege bestand krijgt, net als door veel andere ransomware wordt gedaan, een andere extensie waardoor het lijkt alsof de inhoud versleuteld is.

Na het verwijderen van de bestanden verwijdert de malware ook de shadow volume kopieën en schakelt Windows Opstartherstel uit. Aangezien er niets te ontsleutelen valt krijgen slachtoffers het advies om het gevraagde losgeld niet te betalen. Vanwege de ransomware heeft het computer emergency response team van de Duitse overheid (CERT-Bund) een waarschuwing op Twitter gegeven, met informatie over de domeinen en ip-adressen die aanvallers gebruiken. Organisaties krijgen het advies om e-mails van bepaalde domeinen te blokkeren, alsmede ervoor te zorgen dat er met andere domeinen geen verbinding kan worden gemaakt. Dit moet het downloaden van de malware voorkomen.

Image

Reacties (4)
05-08-2019, 15:23 door Anoniem
Okee. Maar een mail met (een zipfile met - ) .lnk bestanden die blokkeer je toch al in je mailscanner?
05-08-2019, 16:57 door Anoniem
Kijk even of je virusscanner dit exemplaar al detecteert?
Situatie nu op het moment van schrijven:
https://www.virustotal.com/gui/file/41364427dee49bf544dcff61a6899b3b7e59852435e4107931e294079a42de7c/detection
05-08-2019, 19:00 door Anoniem
Door Anoniem: Okee. Maar een mail met (een zipfile met - ) .lnk bestanden die blokkeer je toch al in je mailscanner?
Nee hoor, scan mijn e-mail (gebruik Thunderbird) op geen enkel mogelijke manier. (mijn ICT kennis acht op een 2,5 (schaal 0 t/m 10)).
07-08-2019, 02:00 door Anoniem
Je opent toch om niet zomaar een bestand die je niet kent of vertrouwd eerst research doen en dan alsnog op de officiële site downloaden
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.