Sécurité : Ce malware détruit les fichiers de l’utilisateur et demande ensuite une rançon. Les utilisateurs touchés par ce malware ne devraient évidemment pas payer.

La semaine dernière, une nouvelle souche de ransomware a fait des ravages en Allemagne. Nommé GermanWiper, ce ransomware ne chiffre pas les fichiers, il les réécrit avec des zéros, détruisant ainsi de manière permanente les données des utilisateurs.

En conséquence, tout utilisateur infecté par ce logiciel ransomware doit savoir que le paiement de la demande de rançon ne les aidera pas à récupérer leurs fichiers.

À moins que les utilisateurs n'aient créé des sauvegardes hors ligne de leurs données, leurs fichiers sont définitivement perdus.

Pour le moment, la seule bonne nouvelle est que ce logiciel ransomware semble se limiter à une diffusion dans les pays germanophones uniquement, et plus particulièrement en Allemagne.

publicité

Une campagne de distribution considérable

Les premiers signes de GermanWiper ont été rapportés plus tôt cette semaine lorsque les victimes ont commencé à demander de l'aide sur les forums Bleeping Computer, un site populaire où les internautes se rassemblent pour obtenir des conseils sur le traitement des infections par ransomware.

Le premier rapport a été publié le mardi 30 juillet et ils ont continué à s'accumuler au cours des jours suivants.

Michael Gillespie, créateur d’ID-Ransomware, un site web sur lequel les victimes de ransomware peuvent télécharger des échantillons et identifier le type de ransomware ayant infecté leurs systèmes, a déclaré à ZDNet que GermanWiper est actuellement l’une des cinq souches de ransomware les plus actives sur sa plateforme.





Les quatre souches de ransomware avec plus de détections sur ID-Ransomware sont toutes des souches distribuées dans le monde entier. En prenant cet aspect en compte, on peut raisonnablement dire que les utilisateurs de langue allemande sont actuellement attaqués par les opérateurs de GermanWiper.

Distribué à travers des publicités malveillantes

Selon le chercheur allemand en sécurité Marius Genheimer et le CERT-Bund, l'équipe allemande de réponse en cas d’incident informatique, le ransomware GermanWiper est actuellement distribué via des campagnes malveillantes de spam par courrier électronique (malspam).

Ces courriels prétendent être des demandes d'emploi émanant d'une personne nommée "Lena Kretschmer". Un CV est joint à ces courriers sous forme de fichier ZIP et contient un fichier de raccourci LNK. Le fichier LNK est piégé et installe en réalité le ransomware GermanWiper.

Lorsque les utilisateurs exécutent ce fichier, le logiciel ransomware réécrit le contenu de divers fichiers locaux avec le caractère 0x00 (la chaîne de caractère «0 ») et ajoute une nouvelle extension à tous les fichiers. Cette extension a un format de cinq caractères alphanumériques aléatoires, tels que .08kJA, .AVco3, .OQn1B, .rjzR8, etc.

Après avoir "chiffré" tous les fichiers ciblés, GermanWiper ouvre une note de rançon (un fichier HTML) dans le navigateur par défaut de l'utilisateur. La note de rançon ressemble à celle ci-dessous. Une vidéo du processus d'infection est également disponible ici.





Les victimes ont sept jours pour payer la demande de rançon. Il est important de se rappeler que payer la note de rançon n'aidera pas les utilisateurs à récupérer leurs fichiers. Le second du genre en Allemagne Curieusement, ce n’est pas le premier wiper se faisant passer pour un ransomware qui cible les utilisateurs germanophones. En novembre 2017, l'Allemagne a été visée par une souche de ransomware similaire appelée Ordinypt (ou HSDFSDCrypt).

Par coïncidence ou non, Ordinypt a également utilisé les publicités malveillantes pour sa distribution et les CV de belles femmes pour pousser les utilisateurs à cliquer sur les liens. En outre, la note de rançon Ordinypt est également presque identique à celle utilisée par GermanWiper.

Source : GermanWiper ransomware hits Germany hard, destroys files, asks for ransom

