Német cégeknél pusztított a GermanWiper zsarolóvírus

Eddig német cégeknél okozott fennakadásokat az a zsarolóprogram, amely teljes mértékben képes megsemmisíteni fontos állományokat.
 

A GermanWiper károkozó neve két alapvető tulajdonságáról is árulkodik. Egyrészt, hogy elsősorban Németországban működő számítógépeket vett célba. Másrészt pedig az is kiderül belőle, hogy fájlok „kitakarítására” alkalmas, ami egyben azt is érzékelteti, hogy egy romboló szerzeményről van szó.
 
Támadás több lépésben
 
A MalwareHunterTeam és Michael Gillespie biztonsági kutató által vizsgált kártékony programról hamar kiderült, hogy valójában egy alattomos zsarolóvírus. Fertőzött elektronikus levelekben terjed, amelyek egyebek mellett egy tömörített, ZIP-fájlt is tartalmaznak. Amikor ezt a felhasználó megnyitja, akkor abból egy PDF-fájl is előkerül. Ez azonban nem egy dokumentum, hanem egy álcázott parancsikon, amelyre kattintva egy PowerShell script fut le, ami letölt egy HTA-kiterjesztésű fájlt a helyi számítógépre. A HTA állomány pedig interneten keresztül beszerzi a GermanWiper futtatható állományát, ami aztán a károkozásokat elvégzi.
 
A kártékony program a "C:\Users\Public" mappából kezdi meg a működését. Először feltérképezi a telepített szolgáltatásokat, és az adatbáziskiszolgálók folyamatait leállítja. Egyebek mellett a következőket is:
sql.exe
sqld.exe
mysql.exe
mysqld.exe
oracle.exe
       
Ezzel feloldja az adatfájlok zárolását, és képes lesz manipulálni azokat, csakúgy mint a felhasználói állományokat. A károkozó leginkább azokat a fájlokat hagyja érintetlenül, amelyek a Windows operációs rendszer és az alkalmazások működéséhez feltétlenül szükségesek. Ezzel biztosítja, hogy a felhasználó értesüljön a váltságdíjról, és teljesíthesse a követeléseket. A zsarolók 1500 dollárnak megfelelő Bitcoin megfizetését várják.
 
Semmi értelme fizetni
 
A biztonsági kutatók sokszor hangsúlyozzák, hogy nem célszerű teljesíteni a zsarolók követeléseit. Most azonban egészen biztosan értelmetlen, mivel a GermanWiper nem titkosítja, hanem felülírja az állományokat. Minden kiszemelt fájlt nullákkal ír tele, majd véletlenszerű kiterjesztésekkel látja el azokat. Mivel a kinullázott fájlok önmagukban nem helyreállíthatók, ezért teljesen haszontalan a követelések teljesítése. Egy fertőzést követően leginkább a biztonsági mentésekre lehet hagyatkozni, legalábbis, ha vannak. Sajnos a Windows által készített árnyékmásolatok nem vethetők be, mivel azokat a zsarolóvírus törli.