Wiper-Ransomware Ordinypt zielt auf deutsche Nutzer

Deutsche Benutzer stehen im Fokus einer neuen Ransomware mit dem Namen Ordinypt, die Dateien verschlüsselt und dann löscht. Wird also ein System befallen, sind die Daten weg.


Anzeige

Karsten Hahn von G Data hat sich die Ransomware Ordinypt angesehen und in diesem Blog-Beitrag darüber berichtet. Laut diesem Tweet löscht die Ransomware, die auch als HSDFSDCrypt bezeichnet wird, die Dateiinhalte und verschlüsselt diese.

Ein 841 MByte großer Ordner war nach der Verschlüsselung nur noch 7,66 Megabyte groß, da die Dateiinhalt gelöscht wurden. Hier ist ein Screenshot eines verschlüsselten Ordners.

Ordinypt verschlüsselte Dateien
(Quelle: GDATA)


Anzeige

Laut Virus Total erkennen inzwischen 41 von 67 Virenscanner diesen Erpressungstrojaner. Nicht erkannt wird er von AVAST Mobil Security, Microsoft, Sophos, F-Prot und weiteren Antivirus-Produkten.

Details zu Ordinypt

Die Ransomware wird als Anhang zu einer vorgeblichen Bewerbungsmail von einer Viktoria Herschel verschickt. Die Anhänge sind als Viktoria Henschel – Bewerbungsfoto.jpg und Viktoria Henschel – Bewerbungsunterlagen.zip benannt. Bleeping-Computer hat in diesem Artikel den nachfolgenden Screenshot einer solchen Mail veröffentlich.

Mail mit Ordinypt-Ransomware
(Zum Vergrößeren klicken, Quelle: Bleeping Computer)

In der ZIP-Datei finden sich wohl zwei .exe-Dateien, die durch Doppel-Extensions (xxx.PDF.EXE) und Icons maskiert werden. Dem Text nach zu urteilen, adressiert die Wiper-Ransomware vor allem Personalabteilungen. Der Text ist, was ich bisher so gesehen habe, in fehlerfreiem Deutsch verfasst – da dürfte ein Muttersprachler als Verfasser dahinter stecken.

Bei GDATA schreibt man, dass Ordinypt in einer für Ransomware unüblichen Programmiersprache Delphi verfasst wurde. Sobald die Erpressungssoftware ausgeführt wurde und einen Ordner verschlüsselt hat, findet sich eine HTML-Datei Wo_sind_meine_Dateien, die beim Öffnen folgenden Text anzeigt.

Nachricht nach der Ransomware-Attacke
(Zum Vergrößern klicken, Quelle: GDATA)

Laut GDATA wird in der Erpressernachricht jedes mal eine neue Bitcoin-Adresse für die Lösegeldzahlung generiert. GDATA spekuliert, dass die Verfolgung von Zahlungsströmen durch Strafverfolgungsbehörden erschwert werden soll. Da der Erpressungstrojaner aber die Dateien beim Verschlüsseln löscht, eine Entschlüsselung also auch nach Zahlung die geleerten Daten aus den verschlüsselten Dateien nicht wiederherstellt, kann es sich auch schlicht um eine Finte handeln.

Nachtrag: Das ganze Thema ist sehr merkwürdig. Aufgefallen ist das Ganze, weil jemand den Schadcode zu ID Ransomware hochludt. Aber es sind keine größeren Ausbrüche bekannt geworden. Der folgende Tweet zeigt auch eine Karte mit sehr wenigen Infektionen. Siehe auch die Infos bei heise.de.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Wiper-Ransomware Ordinypt zielt auf deutsche Nutzer

  1. Herr IngoW sagt:

    Für mich Persönlich ist "Bitcoin" einfach nur eine Verbrecher-"Währung", man versteht nicht warum der Staat/EU usw. nichts dagegen unternimmt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.