据外媒报道,上周,多家德国公司收到了一种含有新型恶意软件链接的网络钓鱼邮件。这种名为GermanWiper的恶意软件是一种伪装成勒索软件的数据清除软件,攻击目标多位于德国境内。

据了解,黑客会先发出一份伪装成求职信的电子邮件,并附上一个含有两份伪装成PDF格式简历的文件。这些PDF文件实际上是一个快捷方式,用以执行PowerShell命令。在该命令被执行后,设备将自动下载并运行HTA文件,并在运行HTA文件时下载GermanWiper。

据专家分析,GermanWiper会首先终止数据库和其他软件的相关进程,以便访问文件。接下来,它会扫描系统找出要销毁的文件,再用1和0将其覆盖来达到清除效果。专家表示,该病毒会跳过一些特定文件,以保证受害者可以正常启动Windows操作系统并浏览网页。

为了使其看起来像加密过程一样,每个文件的名称后面都会被添加一个随机的5字符扩展名,例如.08kJA、.AVco3或.Fi2Ed。在删除文件后,GermanWiper还将删除卷影副本(shadow volume copies)并禁止Windows自动重启以防止电脑被修复。

据悉,在破坏计算机并删除文件后,GermanWiper会在桌面上留下下一则说明,表明所有文件已被加密,并指示受害者支付价值1600美元的比特币以解锁文件。但专家表示,因为该恶意软件已经将文件摧毁,即使受害者支付赎金也无法将其找回

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。