GermanWiper, un supuesto ransomware que únicamente borra tus archivos

Tenemos entre manos otro de esos programas que nos arrebatan el control de nuestros archivos para después pedirnos un rescate por su recuperación. Sin embargo, en este caso no nos servirá de nada pagar a los creadores del ransomware, porque de hecho es un wiper, GermanWiper.

La semana pasada aparecieron algunos informes sobre una campaña de distribución de malware que está moviéndose en el territorio alemán (o aquellos de habla alemana). Pero os hablo de ella porque las infecciones se han expandido por otros países.

Este ransomware no es tal, los creadores no tienen intención alguna de recuperar nuestros archivos y lo único que quieren es aprovechar la moda para hacer «pasta» rápida con un producto muy sofisticado técnicamente, puesto que solo borrar los archivos.

¿Qué es GermanWiper?

Evidentemente no se presenta ante nosotros con este nombre (haría sospechar al instante a muchos) que no es más que el apodo que le ha puesto la comunidad de ciberseguridad según su comportamiento.

Un wiper es un software utilizado para atacar ficheros y destruirlos, simplemente. Puede ser un software o comando de sistema benigno que, mal utilizado, se vuelve malicioso. Sin embargo técnicamente se lo considera un ransomware.

El pasado día 30 se vieron las primeras infecciones en el popular foro antiransomware y antimalware BleepingComputer, sitio al que siempre os redirijo para obtener más respuestas y que recomiendo visitar de vez en cuando, ya que abarcan mucho más que yo y hay multitud de expertos en este tipo de amenaza.

Infección

La fase de la infección comienza con un clásico email de tipo phishing / spam que bien puede ser una supuesta oferta de empleo, una fortuna escondida, etcétera. Se ha visto el siguiente correo circulando por los buzones de correo en varios países:

Sehr geehrte Damen und Herren,
mit großem Interesse bin ich im Internet auf Ihre ausgeschriebene Position aufmerksam geworden. Ich möchte mich gerne einer neuen beruflichen Herausforderung stellen. Mit mir gewinnt Ihr Unternehmen einen leistungsbereiten Mitarbeiter. Ich widme mich meinen neuen Aufgaben und Herausforderungen stets mit großer Motivation und vollem Einsatz. Einen Einstieg bei Ihnen zum nächstmöglichen Zeitpunkt steht nichts entgegen. Gerne gebe ich Ihnen einen weiteren Eindruck in einem persönlichen Gespräch. Ich freue mich über Ihre Einladung

Mit freundlichen Grüßen

Lena Kretschmer

Anlagen: Arbeitszeugnisse, Lebenslauf, Bewerbungsfoto

La supuesta individua -Lena- adjunta además una fotografía al email con el nombre (Lena_Kretschmer_Bewerbingsfoto.jpg) y un archivo ZIP –Unterlagen_Lena_Kretschmer.zip-. Dentro del mismo existe un archivo .LNK (acceso directo).

Obviamente, hacer clic en dicho archivo LNK es un error dado que es el paso necesario para ver el mundo arder.No es más que un dropper que comenzará la descarga del ransomware GermanWiper.

Demanda

Una vez ha eliminado silenciosamente nuestros archivos importantes -esto es, aquellos que por extensión se consideran documentos, facturas, imágenes, etc- GermanWiper mostrará el manido mensaje o nota de pago.

Haciendo una búsqueda inversa de la imagen la única conexión que hay es un señor llamado Michel Buchmann, que además tiene una web donde explica como escribir un CV si quieres aplicar a una oferta de empleo en Alemania. Ninguna relación con el malware.

No tiene nada que ver con Alemania realmente, se ha observado además alguna infección (pocas de momento) en los siguientes países (España entre ellos).

El ejecutable contiene no uno sino tres direcciones de Bitcoin codificadas en base64, de las que el malware escogerá una al azar para cada infección. Los atacantes han conseguido hasta el momento unos 5300 € de 3 de las 36 carteras que poseen.

No es mucho dinero, pero lleva poco tiempo funcionando y realmente no está mal por crear un programa que apenas les habrá consumido tiempo elaborar.

¡No es ransomware!

Los medios han tardado poco en hablar de ransomware otra vez. Ya sabéis, cuando una noticia aparece muchas veces sienten la tentación de publicarla directamente sin verificarlo. Recordemos, no hay que pagar. este malware simplemente va a superponer muchos ceros sobre los clusteres de disco que tengamos ocupados con nuestra valiosa información.

Es conclusión: no pagues, usa un buen antiransomware y ten copias de seguridad a mano 😉