Méfiez-vous de GermanWiper, le ransomware qui n'en était pas un...

 
Un nouveau logiciel malveillant fait actuellement la une, et exige une rançon pour restaurer vos données. Cependant, ce qui s’apparenterait à une campagne de ransomware est faux car les auteurs du malware n’ont aucune intention de déchiffrer les données infectées.
La semaine dernière, des rapports ont révélé qu’une campagne de ransomware était en cours dans les territoires germanophones, effaçant ainsi les données de tous les terminaux sur lesquels il réussissait à atterrir. Mais les territoires germanophones ne sont pas les seuls à être touchés.

Qu’est-ce que GermanWiper ?

GermanWiper, comme on le surnomme, est techniquement un ransomware. Cependant, ce malware ne chiffre pas les données mais les remplace purement et simplement par une série de zéros, ce qui les rend inutilisables.
Le malware est donc considéré comme un wiper (effaceur qui tente de supprimer vos fichiers importants). Il ne vise pas à générer un profit, mais à causer des perturbations et un préjudice financier à ses victimes – même si ses auteurs n’hésitent pas à empocher la rançon.
Les premières infections ont été initialement signalées sur le forum BleepingComputer le 30 juillet. GermanWiper est distribué via une campagne de spam (courrier électronique non sollicité). L’expéditeur du courrier malveillant prétend être un demandeur d’emploi nommé Lena Kretschmer. L’un des fichiers joints, une archive, contient le malware. Ouvrir l’archive n’est pas suffisant pour être infecté, mais lancer les fichiers exécutables qu’elle renferme l’est.
Les deux fichiers se présentent sous la forme de PDF, mais sont en réalité des raccourcis LNK qui exécutent une commande PowerShell et téléchargent le programme malveillant. Une fois le code malveillant sur l’ordinateur de la victime, il s’exécute automatiquement en local et efface les données de l’utilisateur, tout en excluant les fichiers système pour que l’ordinateur reste opérationnel.
Lorsque le wiper termine son oeuvre malveillante, une lettre de rançon en allemand s’affiche automatiquement. La note indique à la victime que ses fichiers ont été chiffrés et que le seul moyen de les déchiffrer est de payer 0,15038835 Bitcoin à une adresse de portefeuille spécifiée. Néanmoins, GermanWiper est simplement conçu pour effacer les données. Les victimes de GermanWiper sont donc priées de ne pas payer de rançon !

Non restreint à l’Allemagne

Bitdefender a détecté la présence de GermanWiper, bien que rarement, dans plusieurs autres pays. Comme le montre le graphique ci-dessous, ces pays incluent, entre autres, la Chine, Taiwan, l’Espagne, l’Irlande, la Hongrie, les États-Unis et le Royaume-Uni. Les points de pourcentage représentent la présence de GermanWiper dans chaque pays au moment de la rédaction de cet article.

Combien ont gagné les pirates ?

Bien que n’étant pas conçu pour générer des bénéfices pour ses auteurs, d’un point de vue technique, GermanWiper peut toujours contraindre les victimes à payer une rançon.
L’exécutable contient non pas une mais trois douzaines d’adresses bitcoin codées en base64, parmi lesquelles le logiciel malveillant en choisit une au hasard pour chaque nouvelle victime. Nous avons recherché dans la base de données Blockchain les 36 portefeuilles et avons constaté que la plupart affichait un solde nul (au moment de la rédaction de cet article), sans qu’aucune transaction n’ait encore été enregistrée.
Cependant, trois des portefeuilles ont jusqu’à présent reçu des fonds d’un montant exact spécifié dans la note de rançon, ce qui signifie que les opérateurs ont jusqu’à présent empoché environ 5 300 dollars au prix de change actuel des Bitcoins.

Comment se protéger contre les ransomwares et les wipers

Puisque GermanWiper détruit les données sur l’ordinateur cible, il est conseillé aux victimes de GermanWiper de ne pas céder aux exigences des pirates. Garder des sauvegardes régulières et hors ligne à partir desquelles restaurer vos données reste la meilleure défense contre les attaques de ransomware et/ou de wiper. Ne pas le faire donne l’avantage aux cybercriminels si vos données sont soumises au paiement d’une rançon.
Puisque GermanWiper est distribué dans le cadre d’une campagne de spam, les entreprises sont invitées à informer leurs employés de la campagne en cours. En règle générale, les employés doivent être régulièrement informés de la nécessité de maintenir une bonne hygiène en matière de cybersécurité et de ne pas télécharger de documents non sollicités..