按照常理，當(dāng)我們交付贖金后，被加密的文章就會(huì)被解密歸還受害者，然而有這么一種惡意軟件，不僅會(huì)破壞電腦上的文件，還將自己偽裝成勒索軟件向受害者索要贖金，后者在支付贖金后卻什么也得不到。可以說，非常不講江湖‘道義’了。

這款不講究的惡意軟件叫GermanWiper，是一種偽裝成勒索軟件的數(shù)據(jù)清除軟件（沒錯(cuò)，支付贖金也拿不回?cái)?shù)據(jù)），上周多家德國(guó)公司收到了一封含有這個(gè)新型惡意軟件鏈接的釣魚郵件，這些垃圾郵件假裝是由提交簡(jiǎn)歷的Lena Kretschmer求職者發(fā)送的電子郵件，其攻擊目標(biāo)多位于德國(guó)境內(nèi)。

這些消息的主題是“Ihr Stellenangebot - Bewerbung [你的工作機(jī)會(huì) - 申請(qǐng)] - Lena Kretschmer”并有一個(gè)標(biāo)題為“Unterlagen_Lena_Kretschmer.zip”的附件。

附件中的存檔包含假定為發(fā)件人的PDF簡(jiǎn)歷的兩個(gè)文件，而實(shí)際上它們是執(zhí)行PowerShell命令以從中下載HTA文件的快捷方式（LNK）expandingdelegation[。]頂級(jí)站點(diǎn)并在受害者計(jì)算機(jī)上執(zhí)行它。

HTA將下載勒索軟件可執(zhí)行文件并將其保存到C：\Users\Public文件夾，并作為具有由三個(gè)字母組成文件名的可執(zhí)行文件，然后啟動(dòng)GermanWiper。一旦系統(tǒng)被感染，GermanWiper會(huì)刪除文件并留下贖金請(qǐng)求支付BTC 0.15038835。現(xiàn)實(shí)情況是，惡意軟件只是用零和一個(gè)覆蓋文件的內(nèi)容。

下面這張圖顯示了GermanWiper向ID Ransomware服務(wù)提交的數(shù)量，表明活動(dòng)仍在進(jìn)行中。

此外，安全專家發(fā)布了有關(guān)GermanWiper的幾個(gè)細(xì)節(jié)。當(dāng)惡意軟件啟動(dòng)時(shí)，它會(huì)嘗試終止與任何軟件相關(guān)的進(jìn)程（即notepad.exe，mysql.exe，oracle.exe）可以鎖定要加密的文件。

GermanWiper會(huì)跳過對(duì)Windows正常工作至關(guān)重要的文件，它會(huì)在已刪除文件的文件名后附加一個(gè)隨機(jī)的5個(gè)字符的擴(kuò)展名，以誘使受害者相信它們已被勒索軟件加密。完成刪除過程后，GermanWiper還會(huì)刪除卷影卷副本并禁用Windows自動(dòng)啟動(dòng)修復(fù)。

安全專家們還注意到，GermanWiper與Sodinokibi勒索軟件的變種有一些相似之處，該變種涉及最近冒充BSI的垃圾郵件活動(dòng)。此外，在GermanWiper攻擊中觀察到Sodinokibi使用的相同傳遞方法（偽裝成PDF的惡意快捷方式文件，以及使用HTA提取和部署惡意軟件）。