Forwarded from cRyPtHoN™ INFOSEC (DE)
GermanWiper: Ransomware Welle trifft Deutschland
Eine neue Ransomware Welle hat vergangene Woche bundesweit für Aufsehen gesorgt. GermanWiper verschlüsselt keine Dateien, sondern schreibt ihren Inhalt mit Nullen neu und zerstört so dauerhaft die Daten der Nutzer. Von einer Lösegeldzahlung wird daher dringend abgeraten.
☣️ GermanWiper zerstört Daten dauerhaft
GermanWiper verschlüsselt keine Dateien, Partitionen oder Festplatten. Diese Ransomware überschreibt den Inhalt der Daten mit Nullen, womit alles vernichtet wird. Außerdem werden die letzten Zeichen unzähliger Dateien verändert, um sie unbrauchbar zu machen. Die Tatsache, dass auch diese Erpressungs-Software ein Lösegeld fordert, unterscheidet sie erheblich von anderer Ransomware. Denn nach Anwendung dieses Verfahrens, kann selbst nach Eingang der Lösegeldzahlung nichts mehr wiederhergestellt werden. Eine Lösegeldzahlung wäre folglich sinnlos.
Der einzige Weg zur Datenrettung ist ein vorhandenes Backup aller Daten. Diese kann man dann nach einem „Befall“ mit GermanWiper und einer Säuberung des betroffenen Systems wiederherstellen.
☣️ Nur deutschsprachige Länder betroffen
GermanWiper scheint sich noch, nur auf die Verbreitung im deutschsprachigen Raum zu beschränken. Der Schwerpunkt liegt aber ganz klar vor allem auf Deutschland.
Die ersten deutscher Nutzer, die von GermanWiper betroffen waren, haben sich bereits am Dienstag, den 30. Juli im Bleeping Computer-Forum gemeldet. Die darauf folgenden Tage kamen dann immer mehr Meldungen und um Hilfe bittende Nutzer hinzu. Auch auf der Webseite ID-Ransomware, die sich auf die Meldung und das Erkennen von Ransomware spezialisiert hat, ist GermanWiper mittlerweile unter den Top 5. https://www.bleepingcomputer.com/forums/t/701735/germanwiper-ransomware-with-random-extensions-08kja-avco3-oqn1b/
Die Plätze eins bis vier in dem Ranking der am meisten verbreiteten Ransomware Familien, gehören zu den weltweit meist verbreiteten. Man kann also mit Sicherheit davon ausgehen, das GermanWiper vor allem deutschsprachige Nutzer im Visier hat.
☣️ Verbreitung per E-Mail
Der deutsche Sicherheitsforscher Marius Genheimer und der CERT-Bund bestätigen eine Verbreitung der Ransomware über E-Mail-Spam (Mailspam) Kampagnen. Diese E-Mails geben vor, Bewerbungen von einer Person namens „Lena Kretschmer“ zu sein. Ein Lebenslauf ist als Zip-Datei an diese E-Mails angehängt und enthält eine LNK-Verknüpfungsdatei. Die LNK-Datei ist „boobytrapped“ und installiert dann die GermanWiper-Ransomware.
Wenn Nutzer diese Datei ausführen, überschreibt die Ransomware den Inhalt verschiedener lokaler Dateien mit dem Wert 0x00 (Nullzeichen) neu. Zusätzlich fügt GermanWiper allen Dateien eine neue Erweiterung wie z.b. .08kJA, .AVco3, .OQn1B, .rjzR8, usw. hinzu.
Video PoC:
https://app.any.run/tasks/0f8bf1d6-011e-423d-bbd2-70abb4f50bf4/
#GermanWiper #Ransomware #Erpressung
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Eine neue Ransomware Welle hat vergangene Woche bundesweit für Aufsehen gesorgt. GermanWiper verschlüsselt keine Dateien, sondern schreibt ihren Inhalt mit Nullen neu und zerstört so dauerhaft die Daten der Nutzer. Von einer Lösegeldzahlung wird daher dringend abgeraten.
☣️ GermanWiper zerstört Daten dauerhaft
GermanWiper verschlüsselt keine Dateien, Partitionen oder Festplatten. Diese Ransomware überschreibt den Inhalt der Daten mit Nullen, womit alles vernichtet wird. Außerdem werden die letzten Zeichen unzähliger Dateien verändert, um sie unbrauchbar zu machen. Die Tatsache, dass auch diese Erpressungs-Software ein Lösegeld fordert, unterscheidet sie erheblich von anderer Ransomware. Denn nach Anwendung dieses Verfahrens, kann selbst nach Eingang der Lösegeldzahlung nichts mehr wiederhergestellt werden. Eine Lösegeldzahlung wäre folglich sinnlos.
Der einzige Weg zur Datenrettung ist ein vorhandenes Backup aller Daten. Diese kann man dann nach einem „Befall“ mit GermanWiper und einer Säuberung des betroffenen Systems wiederherstellen.
☣️ Nur deutschsprachige Länder betroffen
GermanWiper scheint sich noch, nur auf die Verbreitung im deutschsprachigen Raum zu beschränken. Der Schwerpunkt liegt aber ganz klar vor allem auf Deutschland.
Die ersten deutscher Nutzer, die von GermanWiper betroffen waren, haben sich bereits am Dienstag, den 30. Juli im Bleeping Computer-Forum gemeldet. Die darauf folgenden Tage kamen dann immer mehr Meldungen und um Hilfe bittende Nutzer hinzu. Auch auf der Webseite ID-Ransomware, die sich auf die Meldung und das Erkennen von Ransomware spezialisiert hat, ist GermanWiper mittlerweile unter den Top 5. https://www.bleepingcomputer.com/forums/t/701735/germanwiper-ransomware-with-random-extensions-08kja-avco3-oqn1b/
Die Plätze eins bis vier in dem Ranking der am meisten verbreiteten Ransomware Familien, gehören zu den weltweit meist verbreiteten. Man kann also mit Sicherheit davon ausgehen, das GermanWiper vor allem deutschsprachige Nutzer im Visier hat.
☣️ Verbreitung per E-Mail
Der deutsche Sicherheitsforscher Marius Genheimer und der CERT-Bund bestätigen eine Verbreitung der Ransomware über E-Mail-Spam (Mailspam) Kampagnen. Diese E-Mails geben vor, Bewerbungen von einer Person namens „Lena Kretschmer“ zu sein. Ein Lebenslauf ist als Zip-Datei an diese E-Mails angehängt und enthält eine LNK-Verknüpfungsdatei. Die LNK-Datei ist „boobytrapped“ und installiert dann die GermanWiper-Ransomware.
Wenn Nutzer diese Datei ausführen, überschreibt die Ransomware den Inhalt verschiedener lokaler Dateien mit dem Wert 0x00 (Nullzeichen) neu. Zusätzlich fügt GermanWiper allen Dateien eine neue Erweiterung wie z.b. .08kJA, .AVco3, .OQn1B, .rjzR8, usw. hinzu.
Video PoC:
https://app.any.run/tasks/0f8bf1d6-011e-423d-bbd2-70abb4f50bf4/
Weiter auf:https://tarnkappe.info/germanwiper-ransomware-welle-trifft-deutschland/?wp-nocache=true
#GermanWiper #Ransomware #Erpressung
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Forwarded from cRyPtHoN™ INFOSEC (DE)
Media is too big
VIEW IN TELEGRAM
Hirne Hacken - Menschliche Faktoren der IT-Sicherheit
Ob #Ransomware oder #Phishing, #APT-#Angriffe oder #Stalking: Die am häufigsten ausgenutzte #Schwachstelle ist der Mensch.
Ein Problem, das nur wenig Forschung tatsächlich angehen will. Stattdessen begnügen wir uns damit, den Usern Dummheit zu unterstellen und menschliche Faktoren der IT-Sicherheit "out of scope" zu sehen.
Zeit, anders über das Problem nachzudenken, denn es gibt einige Interessante Erkenntnisse zu entdecken.
https://media.ccc.de/v/36c3-11175-hirne_hacken
#CCC #36c3 #Video #Hacken #Security
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@FLOSSb0xIN
Ob #Ransomware oder #Phishing, #APT-#Angriffe oder #Stalking: Die am häufigsten ausgenutzte #Schwachstelle ist der Mensch.
Ein Problem, das nur wenig Forschung tatsächlich angehen will. Stattdessen begnügen wir uns damit, den Usern Dummheit zu unterstellen und menschliche Faktoren der IT-Sicherheit "out of scope" zu sehen.
Zeit, anders über das Problem nachzudenken, denn es gibt einige Interessante Erkenntnisse zu entdecken.
https://media.ccc.de/v/36c3-11175-hirne_hacken
#CCC #36c3 #Video #Hacken #Security
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@FLOSSb0xIN
DarkSide Ransomware Gang gibt auf, nachdem Server und Bitcoin Stash beschlagnahmt wurden.
Das DarkSide Ransomware-Partnerprogramm, das für den sechstägigen Ausfall der Colonial Pipeline in dieser Woche verantwortlich war, der zu Treibstoffknappheit und Preisspitzen im ganzen Land führte, macht sich aus dem Staub. Die Verbrecherbande gab bekannt, dass sie ihren Laden schließt, nachdem ihre Server beschlagnahmt wurden und jemand die Kryptowährung von einem Konto abzog, das die Gruppe zur Bezahlung von Partnern verwendet.
"Server wurden beschlagnahmt (Land nicht genannt), Geld von Werbetreibenden und Gründern wurde auf ein unbekanntes Konto übertragen," liest eine Nachricht von einem Cybercrime-Forum auf dem russischen OSINT-Telegram-Kanal neu gepostet.
https://krebsonsecurity.com/2021/05/darkside-ransomware-gang-quits-after-servers-bitcoin-stash-seized/
#darkside #ransomware #servers #bitcoin #beschlagnahmt
📡@cRyPtHoN_INFOSEC_FR
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_DE
📡@BlackBox_Archiv
Das DarkSide Ransomware-Partnerprogramm, das für den sechstägigen Ausfall der Colonial Pipeline in dieser Woche verantwortlich war, der zu Treibstoffknappheit und Preisspitzen im ganzen Land führte, macht sich aus dem Staub. Die Verbrecherbande gab bekannt, dass sie ihren Laden schließt, nachdem ihre Server beschlagnahmt wurden und jemand die Kryptowährung von einem Konto abzog, das die Gruppe zur Bezahlung von Partnern verwendet.
"Server wurden beschlagnahmt (Land nicht genannt), Geld von Werbetreibenden und Gründern wurde auf ein unbekanntes Konto übertragen," liest eine Nachricht von einem Cybercrime-Forum auf dem russischen OSINT-Telegram-Kanal neu gepostet.
https://krebsonsecurity.com/2021/05/darkside-ransomware-gang-quits-after-servers-bitcoin-stash-seized/
#darkside #ransomware #servers #bitcoin #beschlagnahmt
📡@cRyPtHoN_INFOSEC_FR
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_DE
📡@BlackBox_Archiv