6. August 2019, 12:34 Uhr | Lesezeit: 4 Minuten
Das BSI warnt aktuell vor einer gefährlichen Schadsoftware, die sich unbemerkt auf dem Computer installiert und private Daten unlesbar macht. Selbst die Zahlung von Lösegeld bringt die Daten nicht zurück. TECHBOOK klärt auf, wie Sie sich vor „GermanWiper“ schützen können.
Das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI), der sogenannte CERT-Bund, warnt derzeit vor einer Schadsoftware, die bundesweit für Ärger sorgt. Sie versteckt sich in E-Mails, die als Bewerbungen getarnt sind und von einer Person namens Lena Kretschmer oder Doris Sammer stammen sollen. Sobald der Empfänger allerdings auf den Anhang einer der E-Mails klickt, installiert sich schadhafte Software, sogenannte Ransomware, die lokale Daten auf dem PC unlesbar macht.
E-Mail-Spam lässt sich nicht immer erkennen
Das Ärgerliche an E-Mail-Spam wie „GermanWiper“ ist, dass sich die schadhaften Nachrichten nicht ohne Weiteres identifizieren lassen. Zum einen sind die E-Mails in gutem Deutsch verfasst und wirken somit authentisch. Zum anderen gibt es verschiedene, vermeintliche Absender. Bekannt sind vor allem die bereits erwähnten Namen Lena Kretschmer und Doris Sammer. Auch die Absenderdomains ändern sich ständig.
Eines bleibt hingegen immer gleich: Der Betreff der E-Mails. Immer nutzen die Betrüger den Vorwand einer Bewerbung. Das ist gut, denn wenn eine solche Bewerbung bei einer Privatperson landet, die keinen Job zu vergeben hat, ist das auffällig. Aber auch Business-Empfänger können auf bestimmte Punkte achten und den E-Mail-Spam somit identifizieren.
So werden in den Mails keine Personen direkt angesprochen und es gibt immer die drei Anhänge „Arbeitszeugnisse“, „Lebenslauf“ und „Bewerbungsfoto“. Zudem beginnt der Text stets mit den Worten „mit großem Interesse bin ich im Internet/ auf der Internetseite der Bundesagentur für Arbeit auf Ihre ausgeschriebene Position aufmerksam geworden“.
GermanWiper überschreibt private Daten und macht sie unlesbar
Die E-Mails sollen den Empfänger dazu bringen, die Anhänge mit weiteren Informationen zur Bewerberin zu öffnen. Sie zeigen sogar die Vorschau auf ein Bewerberbild der angeblichen Lena Kretschmer. Das Foto ist allerdings aus dem Internet gestohlen und stellt eine Frau namens Luisa dar. Wie der Fotograf und Rechteinhaber des Fotos TECHBOOK gegenüber mitgeteilt hat, hat er bereits Anzeige wegen Missbrauch der Bildrechte erstattet.
So falsch wie das Foto sind auch die angeblichen E-Mail-Anhänge. Statt der angegebenen Dateien beinhaltet der ZIP-Anhang eine LNK-Verknüpfungsdatei, also eine Windows-Link-Datei. Einmal angeklickt, installiert sich ein Trojaner von einem Server. Er überschreibt die auf dem Computer gespeicherten Daten mit Nullen und fügt allen Dateien zusätzlich eine Erweiterung hinzu, die stets variiert. Die Datei-Endungen setzen sich aus einer wahllosen Kombination aus fünf Ziffern und Buchstaben zusammen und können beispielsweise wie folgt aussehen: .OQn1B, .rjzR8. Durch das Überschreiben der Daten mit dem Wert 0x00 werden sie für den Nutzer unlesbar. Ist der Prozess abgeschlossen, öffnet sich im Browser des Computers eine Notiz, in dem die Angreifer Lösegeld fordern.
Die Notiz informiert den PC-Besitzer darüber, dass seine lokal gespeicherten Dateien verschlüsselt worden sind. Sofern er dies rückgängig machen möchte, soll er den Anweisungen in der Benachrichtigung folgen und die Summe von 1.500 Euro für das Entschlüsseln der Daten in Bitcoins zahlen. Allerdings sind diese Aussagen falsch. Selbst wenn Lösegeld gezahlt wird, bleiben die Daten dauerhaft unlesbar – Nutzer haben somit doppelten Schaden.
Anti-Spam-Strategie So wehren Sie sich gegen den E-Mail-Müll
Vorsicht So schützen Sie sich vor dem gefährlichen Emotet-Trojaner
Phishing AVM warnt vor gefälschten Fritzbox-Mails
GermanWiper & Co.: So schützen Sie sich vor Schadsoftware
Die Sicherheitsexperten raten daher, auf keinen Fall auf die Lösegeldforderung einzugehen. Es könne niemand garantieren, dass die Betrüger die Daten wieder entschlüsseln. In manchen Fällen, wie auch bei „GermanWiper“, ist eine Wiederherstellung der Daten beispielsweise gar nicht möglich.
Um sich zu schützen, bleibt Nutzern nichts anderes möglich, als einen aktuellen Virenschutz mit E-Mail-Absicherung auf ihrem PC zu installieren und regelmäßige Daten-Backups zu machen. Zudem sollte nicht wahllos jeder E-Mail-Anhang angeklickt werden. Bewahren Sie sich stattdessen eine gute Portion Skepsis und prüfen Sie den Ursprung entsprechender Mitteilungen.
Sollte der PC bereits mit Schadsoftware befallen sein, kann die Info-Seite von Europol unter Umständen mit einem passenden Entschlüsselungscode helfen. Möglicherweise muss der PC aber auch neu aufgesetzt werden. Hier greift dann wieder das Daten-Backup, das die Dateien in diesem Fall wiederherstellt.