Xakep #305. Многошаговые SQL-инъекции
На прошлой неделе немецких пользователей атаковала малварь GermanWiper, маскирующаяся под шифровальщика. На самом деле этот вредонос не шифрует, а уничтожает данные своих жертв, заменяя содержимое файлов нулями, поэтому эксперты призывают пользователей ни в коем случае не платить выкуп.
Первые заражения GermanWiper были зафиксированы в начале прошлой недели, когда жертвы начали просить о помощи на форумах Bleeping Computer. В настоящее время, как рассказал журналистам ZDNet создатель сайта ID-Ransomware Майкл Гиллеспи (Michael Gillespie), GermanWiper уже входит в пятерку наиболее активных вымогателей на его платформе. Причем другие четыре шифровальщика — это малварь, распределенная по всему миру. То есть, можно составить представление о том, насколько масштабной стала эта кампания против немецких пользователей.
По данным ИБ-эксперта Маркуса Генхаймера (Marius Genheimer) и CERT-Bund, сейчас малварь GermanWiper распространяется через вредоносные письма. Эти послания замаскированы под заявления о приеме на работу от женщины по имени Лена Кречмер. К письмам прилагается резюме в виде ZIP-файла, которое содержит файл LNK, открытие которого и приводит к установке вымогателя GermanWiper.
⚠️ Angreifer versenden aktuell gefälschte Bewerbungen im Namen von "Lena Kretschmer" zur Verbreitung der #Ransomware #GermanWiper. Nicht die Anhänge der Mail öffnen! ⚠️ pic.twitter.com/rpDBReqQYX
— CERT-Bund (@certbund) August 2, 2019
Проникнув в систему, малварь подменяет содержимое файлов нулями, а также добавляет пострадавшим файлам новое расширение (пять случайных букв и цифр, к примеру, .08kJA, .AVco3, .OQn1B, .rjzR8).
«Зашифровав» все целевые файлы, GermanWiper откроет записку с требованием выкупа (HTML-файл) в браузере по умолчанию. На оплату выкупа жертвам отводится неделя, но эксперты подчеркивают, что платить выкуп бесполезно – пострадавшие файлы безнадежно испорчены и уже не подлежат восстановлению.