Deutsche Benutzer stehen im Fokus einer neuen Ransomware mit dem Namen Ordinypt, die Dateien verschlüsselt und dann löscht. Wird also ein System befallen, sind die Daten weg.
Anzeige
Karsten Hahn von G Data hat sich die Ransomware Ordinypt angesehen und in diesem Blog-Beitrag darüber berichtet. Laut diesem Tweet löscht die Ransomware, die auch als HSDFSDCrypt bezeichnet wird, die Dateiinhalte und verschlüsselt diese.
#HSDFSDCrypt destroys files instead of encrypting them ♂
This 841 MB folder is only 7.66 MB after "encryption". #Ordinypt
Sample reference: https://t.co/ZjcgxdWdvg pic.twitter.com/6aMjns1MU2— Karsten Hahn (@struppigel) 8. November 2017
Ein 841 MByte großer Ordner war nach der Verschlüsselung nur noch 7,66 Megabyte groß, da die Dateiinhalt gelöscht wurden. Hier ist ein Screenshot eines verschlüsselten Ordners.
(Quelle: GDATA)
Anzeige
Laut Virus Total erkennen inzwischen 41 von 67 Virenscanner diesen Erpressungstrojaner. Nicht erkannt wird er von AVAST Mobil Security, Microsoft, Sophos, F-Prot und weiteren Antivirus-Produkten.
Details zu Ordinypt
Die Ransomware wird als Anhang zu einer vorgeblichen Bewerbungsmail von einer Viktoria Herschel verschickt. Die Anhänge sind als Viktoria Henschel – Bewerbungsfoto.jpg und Viktoria Henschel – Bewerbungsunterlagen.zip benannt. Bleeping-Computer hat in diesem Artikel den nachfolgenden Screenshot einer solchen Mail veröffentlich.
(Zum Vergrößeren klicken, Quelle: Bleeping Computer)
In der ZIP-Datei finden sich wohl zwei .exe-Dateien, die durch Doppel-Extensions (xxx.PDF.EXE) und Icons maskiert werden. Dem Text nach zu urteilen, adressiert die Wiper-Ransomware vor allem Personalabteilungen. Der Text ist, was ich bisher so gesehen habe, in fehlerfreiem Deutsch verfasst – da dürfte ein Muttersprachler als Verfasser dahinter stecken.
Bei GDATA schreibt man, dass Ordinypt in einer für Ransomware unüblichen Programmiersprache Delphi verfasst wurde. Sobald die Erpressungssoftware ausgeführt wurde und einen Ordner verschlüsselt hat, findet sich eine HTML-Datei Wo_sind_meine_Dateien, die beim Öffnen folgenden Text anzeigt.
(Zum Vergrößern klicken, Quelle: GDATA)
Laut GDATA wird in der Erpressernachricht jedes mal eine neue Bitcoin-Adresse für die Lösegeldzahlung generiert. GDATA spekuliert, dass die Verfolgung von Zahlungsströmen durch Strafverfolgungsbehörden erschwert werden soll. Da der Erpressungstrojaner aber die Dateien beim Verschlüsseln löscht, eine Entschlüsselung also auch nach Zahlung die geleerten Daten aus den verschlüsselten Dateien nicht wiederherstellt, kann es sich auch schlicht um eine Finte handeln.
Nachtrag: Das ganze Thema ist sehr merkwürdig. Aufgefallen ist das Ganze, weil jemand den Schadcode zu ID Ransomware hochludt. Aber es sind keine größeren Ausbrüche bekannt geworden. Der folgende Tweet zeigt auch eine Karte mit sehr wenigen Infektionen. Siehe auch die Infos bei heise.de.
Here's the past 7 days of submissions to ID Ransomware, nothing before the 6th (detected atleast). Used to call it "HSDFSDCRYPT", thus the two names. Pretty much only saw it for a few days. pic.twitter.com/gVxWZYXPwJ
— Michael Gillespie (@demonslay335) 13. November 2017
Anzeige
Für mich Persönlich ist "Bitcoin" einfach nur eine Verbrecher-"Währung", man versteht nicht warum der Staat/EU usw. nichts dagegen unternimmt.
Ach ja, der deutsche Michel schreit wieder nach Verboten.