在上周，德国多家公司因员工打开了来路不明的垃圾电子邮件而感染了一种新型计算机病毒——GermanWiper，不仅数据被擦除，而且还被要求支付赎金。

从GermanWiper表现出来的特征看，它似乎应该是一种勒索软件，但BleepingComputer的安全研究人员在检查了被加密的文件后判定，GermanWiper应该被归类为数据擦除恶意软件。

GermanWiper会彻底破坏受害者的数据

为了让自己看上去像是勒索软件，GermanWiper在擦除数据后会留下赎金票据，声称数据已经被加密，除非转移0.15038835比特币到一个指定的比特币钱包地址，否则无法解密。

不过，根据安全研究员Michael Gillespie的说法，受害者如果支付了赎金，那就等于是白白浪费了一笔钱，因为GermanWiper并没有对数据进行加密，而是用0或1覆盖了它们（即文件已经彻底损坏，根本无法恢复）。

GermanWiper如何抵达受害者的计算机？

如上所述，GermanWiper是通过垃圾电子邮件分发的。从发件人的地址和电子邮件的主题来看，这些电子邮件来自一个名叫“Lena Kretschmer”的求职者，附件伪装成个人简历。

电子邮件的主题为“Ihr Stellenangebot - Bewerbung [Your job offer - Application] ”，附件是一个JPG图片文件和一个ZIP压缩文件（Unterlagen_Lena_Kretschmer.zip）。

解压缩ZIP文件，会得到一个PDF文件。但安全研究员James发现，这个PDF文件实际上是一个LNK快捷方式文件。

双击这个文件，会导致一段PowerShell代码被执行，进而从expandingdelegation[.]top下载一个HTA文件并在本地计算机上启动它。

HTA文件在启动后便会下载GermanWiper，并将它保存在“C:\Users\Public”文件夹下，然后执行。

GermanWiper如何破坏受害者的数据？

根据BleepingComputer研究人员的分析，当GermanWiper首次执行时，它会终止一些与数据库和特定软件相关的进程，以便可以访问受感染计算机上的文件并对它们进行擦除。被终止进程的列表如下：

• notepad.exe
• dbeng50.exe
• sqbcoreservice.exe
• encsvc.exe
• mydesktopservice.exe
• isqlplussvc.exe
• agntsvc.exe
• sql.exe
• sqld.exe
• mysql.exe
• mysqld.exe
• oracle.exe

擦除文件时，GermanWiper会跳过一些具有特定名称、扩展名或位于特定文件夹中的文件，具体如下：

• windows
• recycle.bin
• mozilla
• google
• boot
• application data
• appdata
• program files
• program files (x86)
• programme
• programme (x86)
• programdata
• perflogs
• intel
• msocache
• system volume information

很显然，这些文件对于Windows系统的正常启动和浏览网页非常重要。

如上所述，GermanWiper会使用0或1来覆盖原数据，进而对受害者的文件造成不可逆转的破坏。

为了让文件看起来像是被加密而不是被擦除，GermanWiper会给每一个遭到破坏的文件都附加一个由随机的5个字符组成的扩展名，如.08kJA、.AVco3或.Fi2Ed。

完成擦除之后，GermanWiper还会删除卷影副本，并通过启用如下命令禁用Windows自动修复：

cmd.exe /k vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

最后，GermanWiper会创建一个名为“Fi2Ed_Entschluesselungs_Anleitung.html”的赎金票据，并在擦除完成之后打开它。

赎金金额被设定为0.15038835比特币，约合1600美元。

不仅如此，GermanWiper还会篡改受感染计算机的桌面壁纸，以提示受害者可以通过打开“Fi2Ed_Entschluesselungs_Anleitung.html”来了解如何解密文件。

赎金票据还包含一个跟踪脚本

研究人员表示，在赎金票据的底部有一段非常有趣的JavaScript代码，在赎金票据每次打开时都会自动执行。

分析表明，它实际上是一个跟踪脚本，连接到GermanWiper的C2服务器，被攻击者用来跟踪受害者的数量。

与Sodinokibi勒索软件存在关联？

研究人员表示，GermanWiper与最近被发现的Sodinokibi勒索软件存在一些相似之处，后者在冒充德国国家网络安全机构BSI的恶意电子邮件中被发现。

如下图所示，GermanWiper和Sodinokibi包含了几乎完全相同的PowerShell命令，唯一的区别就是使用了不同的域名作为参数。

此外，Sodinokibi同样也是通过伪装成PDF的恶意LNK快捷方式文件，以及使用HTA文件来提取和部署恶意有效载荷的。

如此看来，GermanWiper和Sodinokibi的开发者很可能是同一伙人。当然，GermanWiper和Sodinokibi也有一个极为明显的差别——Sodinokibi是真的会加密数据，并且数据也真的能够被恢复，而GermanWiper则完全相反。