Die Ransomware Ordinypt ist ein gefährlicher Wiper

Die in der letzten Woche von G-Data entdeckte Pseudo-Ransomware Ordinypt tritt unter falscher Flagge auf: Sie bezeichnet sich als Ransomware (Erpressungstrojaner), ist aber in Wirklichkeit ein Wiper (Löscher), der die angeblich verschlüsselten Daten in Wirklichkeit gründlich löscht.

Der Schädling wird zurzeit offenbar nahezu ausschließlich in Deutschland verteilt, berichtet Bleeping Computer unter Berufung auf Zahlen von VirusTotal. Auch die Lösegeldforderung der Schadsoftware ist nach dem Bericht in „fehlerfreiem“ Deutsch verfasst.

Verbreitung als Email-Bewerbung an die Personalabteilung

Die Verbreitung läuft wie bei anderen Schadprogrammen auch per Email. Ordinypt versteckt sich in vorgeblichen Bewerbungsunterlagen, die in Massen an die Personalabteilungen deutscher Unternehmen verschickt werden.

Als Anhänge dieser Bewerbungs-Mails kommen zwei ausführbare Dateien, die ein PDF-Logo und zwei Dateiendungen haben. Weil ab Werk auf Windows-Rechnern bekannte Dateiendungen ausgeblendet werden, wird aus der ausführbaren Datei „Eva Müller – Bewerbung – November.pdf.exe“ die auf den ersten Blick harmlose PDF-Datei „Eva Müller – Bewerbung – November.pdf“.

Dateien nicht nur gelöscht, sondern sogar überschrieben

Ordinypt macht sich nicht die Mühe, die Dateien seiner Opfer wie bei echter Ransomware üblich zu verschlüsseln. Stattdessen erzeugt die Malware eine zufällige Zeichenfolge aus Ziffern, Groß- und Kleinbuchstaben und überschreibt damit die Originaldatei, die unwiderruflich gelöscht wird. Dadurch sind nach diesem Vorgang alle betroffenen Dateien nur noch zwischen 8 und 24 Kilobyte groß – egal, wie groß sie vorher waren.

Würden die Dateien nur gelöscht, könnte man sie wiederherstellen. Da die Inhalte der Dateien aber überschrieben wurden, sind die Originaldaten dauerhaft verloren.

Über Klaus

Ich beschäftige mich seit mehr als 30 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder des "Neulands".
Dieser Beitrag wurde unter Internet, News, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.