На прошлой неделе немецких пользователей атаковала малварь GermanWiper, маскирующаяся под шифровальщика. На самом деле этот вредонос не шифрует, а уничтожает данные своих жертв, заменяя содержимое файлов нулями, поэтому эксперты призывают пользователей ни в коем случае не платить выкуп.

Первые заражения GermanWiper были зафиксированы в начале прошлой недели, когда жертвы начали просить о помощи на форумах Bleeping Computer. В настоящее время, как рассказал журналистам ZDNet создатель сайта ID-Ransomware Майкл Гиллеспи (Michael Gillespie), GermanWiper уже входит в пятерку наиболее активных вымогателей на его платформе. Причем другие четыре шифровальщика — это малварь, распределенная по всему миру. То есть, можно составить представление о том, насколько масштабной стала эта кампания против немецких пользователей.

По данным ИБ-эксперта Маркуса Генхаймера (Marius Genheimer) и CERT-Bund, сейчас малварь GermanWiper распространяется через вредоносные письма. Эти послания замаскированы под заявления о приеме на работу от женщины по имени Лена Кречмер. К письмам прилагается резюме в виде ZIP-файла, которое содержит файл LNK, открытие которого и приводит к установке вымогателя GermanWiper.

Проникнув в систему, малварь подменяет содержимое файлов нулями, а также добавляет пострадавшим файлам новое расширение (пять случайных букв и цифр, к примеру, .08kJA, .AVco3, .OQn1B, .rjzR8).

«Зашифровав» все целевые файлы, GermanWiper откроет записку с требованием выкупа (HTML-файл) в браузере по умолчанию. На оплату выкупа жертвам отводится неделя, но эксперты подчеркивают, что платить выкуп бесполезно – пострадавшие файлы безнадежно испорчены и уже не подлежат восстановлению.

Оставить мнение