Le "pseudo rançongiciel" GermanWiper demande une rançon, mais les données sont irrécupérables

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3995
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Le "pseudo rançongiciel" GermanWiper demande une rançon, mais les données sont irrécupérables

Message par charles » 06 août 2019 10:47

Dans un excellent article publié sur Bleeping Computers, Ionut Ilascu explique en détails le déroulement d'une attaque qui cible depuis le 02/08/2019 les entreprises allemandes.
Une certaine Lena Kretschmer fait parvenir son CV.
Le prétendu fichier PDF contenu dans l'archive est en fait un fichier de type lien permettant d'exécuter Powershell et de télécharger la charge utile.
Le logiciel malveillant commence par "killer" les processus suivants :

Code : Tout sélectionner

notepad.exe
dbeng50.exe
sqbcoreservice.exe
encsvc.exe
mydesktopservice.exe
isqlplussvc.exe
agntsvc.exe
sql.exe
sqld.exe
mysql.exe
mysqld.exe
oracle.exe
Il va ensuite détruire les fichiers ciblés, puisqu'il va réécrire chaque fichier avec des 0. Autant dire qu'aucune récupération ne sera possible, puisque la méthode s'apparente à un effacement de données avec la commande shred.
Pour faire penser que les fichiers ont été chiffrés, le logiciel malveillant renomme les fichiers en ajoutant une extension du type :

Code : Tout sélectionner

 .08kJA
 .AVco3
 .Fi2Ed
Donc, malgré la demande de rançon, les données ne seront pas récupérables.

Quelques IOC :

Hash sha256 des fichiers :

Code : Tout sélectionner

Arbeitszeugnisse_Lena_Kretschmer.pdf.lnk: 7a0c1477bdde6eef3646fe8e4ba7b68c366ed9b1209799bc5d437a9320878602
Lebenslauf_Lena_Kretschmer.pdf.lnk: 7a0c1477bdde6eef3646fe8e4ba7b68c366ed9b1209799bc5d437a9320878602
Lena_Kretschmer_Bewerbungsfoto.jpg: e08bbf88105c4d06c3eaac07d2885e894015d6e6878dc14260aab4ee87246db0
Unterlagen_Lena_Kretschmer.zip attachment: 8ecd960adaf6609eb8ed9ed46ccbeeb181d1e32f1cda016cde47e35f9748f716
out-677150039.hta: 6e7cb518f13564ae5a899d4cef77246eeae12ab1dc73b27d91af028e85232901
wiper.exe: 41364427dee49bf544dcff61a6899b3b7e59852435e4107931e294079a42de7c
Source : https://www.bleepingcomputer.com/news/s ... or-ransom/

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »