{"id":196197,"date":"2017-11-09T19:34:59","date_gmt":"2017-11-09T18:34:59","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=196197"},"modified":"2022-03-26T19:53:43","modified_gmt":"2022-03-26T18:53:43","slug":"wiper-ransomware-ordinypt-zielt-auf-deutsche-nutzer","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/09\/wiper-ransomware-ordinypt-zielt-auf-deutsche-nutzer\/","title":{"rendered":"Wiper-Ransomware Ordinypt zielt auf deutsche Nutzer"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" \/>Deutsche Benutzer stehen im Fokus einer neuen Ransomware mit dem Namen Ordinypt, die Dateien verschl\u00fcsselt und dann l\u00f6scht. Wird also ein System befallen, sind die Daten weg.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/4d9fee5519834643ba9a2f905c1dd03b\" alt=\"\" width=\"1\" height=\"1\" \/>Karsten Hahn von G Data hat sich die Ransomware Ordinypt angesehen und in <a href=\"https:\/\/www.gdata.de\/blog\/2017\/11\/30151-ordinypt\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> dar\u00fcber berichtet. Laut diesem Tweet l\u00f6scht die Ransomware, die auch als HSDFSDCrypt bezeichnet wird, die Dateiinhalte und verschl\u00fcsselt diese.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/twitter.com\/hashtag\/HSDFSDCrypt?src=hash&amp;ref_src=twsrc%5Etfw\">#HSDFSDCrypt<\/a> destroys files instead of encrypting them \u200d\u2642<br \/>\nThis 841 MB folder is only 7.66 MB after \"encryption\". <a href=\"https:\/\/twitter.com\/hashtag\/Ordinypt?src=hash&amp;ref_src=twsrc%5Etfw\">#Ordinypt<\/a><br \/>\nSample reference: <a href=\"https:\/\/t.co\/ZjcgxdWdvg\">https:\/\/t.co\/ZjcgxdWdvg<\/a> <a href=\"https:\/\/t.co\/6aMjns1MU2\">pic.twitter.com\/6aMjns1MU2<\/a><\/p>\n<p>\u2014 Karsten Hahn (@struppigel) <a href=\"https:\/\/twitter.com\/struppigel\/status\/928238020867887105?ref_src=twsrc%5Etfw\">8. November 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ein 841 MByte gro\u00dfer Ordner war nach der Verschl\u00fcsselung nur noch 7,66 Megabyte gro\u00df, da die Dateiinhalt gel\u00f6scht wurden. Hier ist ein Screenshot eines verschl\u00fcsselten Ordners.<\/p>\n<p><img decoding=\"async\" title=\"Ordinypt verschl\u00fcsselte Dateien\" src=\"https:\/\/i.imgur.com\/LrM6ZVx.jpg\" alt=\"Ordinypt verschl\u00fcsselte Dateien\" \/><br \/>\n(Quelle: GDATA)<\/p>\n<p>Laut <a href=\"https:\/\/www.virustotal.com\/#\/file\/085256b114079911b64f5826165f85a28a2a4ddc2ce0d935fa8545651ce5ab09\/detection\" target=\"_blank\" rel=\"noopener\">Virus Total<\/a> erkennen inzwischen 41 von 67 Virenscanner diesen Erpressungstrojaner. Nicht erkannt wird er von AVAST Mobil Security, Microsoft, Sophos, F-Prot und weiteren Antivirus-Produkten.<\/p>\n<h2>Details zu Ordinypt<\/h2>\n<p>Die Ransomware wird als Anhang zu einer vorgeblichen Bewerbungsmail von einer Viktoria Herschel verschickt. Die Anh\u00e4nge sind als Viktoria Henschel &#8211; Bewerbungsfoto.jpg und Viktoria Henschel &#8211; Bewerbungsunterlagen.zip benannt. Bleeping-Computer hat in <a href=\"https:\/\/web.archive.org\/web\/20220119193717\/https:\/\/www.bleepingcomputer.com\/news\/security\/ordinypt-ransomware-intentionally-destroys-files-currently-targeting-germany\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> den nachfolgenden Screenshot einer solchen Mail ver\u00f6ffentlich.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/O6M0Xwr.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Mail mit Ordinypt-Ransomware\" src=\"https:\/\/i.imgur.com\/Uc1cntq.jpg\" alt=\"Mail mit Ordinypt-Ransomware\" width=\"644\" height=\"410\" \/><\/a><br \/>\n(<a href=\"https:\/\/i.imgur.com\/O6M0Xwr.jpg\" target=\"_blank\" rel=\"noopener\">Zum Vergr\u00f6\u00dferen klicken<\/a>, Quelle: <a href=\"https:\/\/web.archive.org\/web\/20220119193717\/https:\/\/www.bleepingcomputer.com\/news\/security\/ordinypt-ransomware-intentionally-destroys-files-currently-targeting-germany\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a>)<\/p>\n<p>In der ZIP-Datei finden sich wohl zwei .exe-Dateien, die durch Doppel-Extensions (xxx.PDF.EXE) und Icons maskiert werden. Dem Text nach zu urteilen, adressiert die Wiper-Ransomware vor allem Personalabteilungen. Der Text ist, was ich bisher so gesehen habe, in fehlerfreiem Deutsch verfasst \u2013 da d\u00fcrfte ein Muttersprachler als Verfasser dahinter stecken.<\/p>\n<p>Bei GDATA schreibt man, dass Ordinypt in einer f\u00fcr Ransomware un\u00fcblichen Programmiersprache Delphi verfasst wurde. Sobald die Erpressungssoftware ausgef\u00fchrt wurde und einen Ordner verschl\u00fcsselt hat, findet sich eine HTML-Datei <em>Wo_sind_meine_Dateien<\/em>, die beim \u00d6ffnen folgenden Text anzeigt.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/ehPqzsl.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"\" src=\"https:\/\/i.imgur.com\/ehPqzsl.jpg\" alt=\"Nachricht nach der Ransomware-Attacke\" width=\"643\" height=\"783\" \/><\/a><br \/>\n(<a href=\"https:\/\/i.imgur.com\/ehPqzsl.jpg\" target=\"_blank\" rel=\"noopener\">Zum Vergr\u00f6\u00dfern klicken<\/a>, Quelle: GDATA)<\/p>\n<p>Laut GDATA wird in der Erpressernachricht jedes mal eine neue Bitcoin-Adresse f\u00fcr die L\u00f6segeldzahlung generiert. GDATA spekuliert, dass die Verfolgung von Zahlungsstr\u00f6men durch Strafverfolgungsbeh\u00f6rden erschwert werden soll. Da der Erpressungstrojaner aber die Dateien beim Verschl\u00fcsseln l\u00f6scht, eine Entschl\u00fcsselung also auch nach Zahlung die geleerten Daten aus den verschl\u00fcsselten Dateien nicht wiederherstellt, kann es sich auch schlicht um eine Finte handeln.<\/p>\n<p>Nachtrag: Das ganze Thema ist sehr merkw\u00fcrdig. Aufgefallen ist das Ganze, weil jemand den Schadcode zu ID Ransomware hochludt. Aber es sind keine gr\u00f6\u00dferen Ausbr\u00fcche bekannt geworden. Der folgende <a href=\"https:\/\/twitter.com\/fabsh\/status\/930131988610240512\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> zeigt auch eine Karte mit sehr wenigen Infektionen. Siehe auch die <a href=\"https:\/\/www.heise.de\/security\/meldung\/Ordinypt-Ein-Ransomware-Ausbruch-ohne-Folgen-3890130.html\" target=\"_blank\" rel=\"noopener\">Infos bei heise.de<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Here's the past 7 days of submissions to ID Ransomware, nothing before the 6th (detected atleast). Used to call it \"HSDFSDCRYPT\", thus the two names. Pretty much only saw it for a few days. <a href=\"https:\/\/t.co\/gVxWZYXPwJ\">pic.twitter.com\/gVxWZYXPwJ<\/a><\/p>\n<p>\u2014 Michael Gillespie (@demonslay335) <a href=\"https:\/\/twitter.com\/demonslay335\/status\/930134515565162496?ref_src=twsrc%5Etfw\">13. November 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Deutsche Benutzer stehen im Fokus einer neuen Ransomware mit dem Namen Ordinypt, die Dateien verschl\u00fcsselt und dann l\u00f6scht. Wird also ein System befallen, sind die Daten weg.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4817,4328],"class_list":["post-196197","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-ransomeware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=196197"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196197\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=196197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=196197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=196197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}