The tech press is full of stories about “a new ransomware strain” called GermanWiper, that has hit German businesses hard in the last week.
GermanWiper, rather like a typical ransomware attack, arrives in your inbox in the form of an email. In this case samples have been seen purporting to be a job application from a person called Lena Kretschmer.
Sehr geehrte Damen und Herren,mit großem Interesse bin ich im Internet auf Ihre ausgeschriebene Position aufmerksam geworden. Ich möchte mich gerne einer neuen beruflichen Herausforderung stellen. Mit mir gewinnt Ihr Unternehmen einen leistungsbereiten Mitarbeiter. Ich widme mich meinen neuen Aufgaben und Herausforderungen stets mit großer Motivation und vollem Einsatz. Einen Einstieg bei Ihnen zum nächstmöglichen Zeitpunkt steht nichts entgegen. Gerne gebe ich Ihnen einen weiteren Eindruck in einem persönlichen Gespräch. Ich freue mich über Ihre Einladung
Mit freundlichen Grüßen
Lena Kretschmer
Anlagen: Arbeitszeugnisse, Lebenslauf, Bewerbungsfoto
Attached to the email is a photograph (with the filename Lena_Kretschmer_Bewerbingsfoto.jpg), and a ZIP archive file (Unterlagen_Lena_Kretschmer.zip). Inside the ZIP file is a .LNK shortcut.
Clicking on the .LNK shortcut is, of course, a big mistake as your Windows computer will download a nasty malware infection from GermanWiper.
After it has done its dirty work, GermanWiper displays a ransom message requesting payment.
I did a reverse image search on the photograph attached to the email, and found this image by Berlin-based photographer Michel Buchmann, who – coincidentally – has a germanwiper ransomware worse
