Ordinypt: Vermeintlicher Erpressungstrojaner-Ausbruch in Deutschland gibt Rätsel auf

14.11.2017 | Computer, Sicherheit

[QUELLE: https://www.heise.de/security/meldung/Ordinypt-Vermeintlicher-Erpressungstrojaner-Ausbruch-in-Deutschland-gibt-Raetsel-auf-3889143.html ]

Fabian A. Scherschel
Netzleiter IT Support EDV Dienstleistungen ransomware 72f8fae89a6dae06

Die vor kurzem aufgetauchte Ransomware Ordinypt löscht Dateien, statt sie zu verschlüsseln und hat es mit Fake-PDF-Dateien auf deutsche Personalabteilungen abgesehen. Allerdings gibt es bisher kaum Anzeichen auf Infektionen in freier Wildbahn.

Seit ein paar Tagen untersuchen Sicherheitsforscher den Erpressungstrojaner Ordinypt (oder auch HSDFSDCrypt), der es anscheinend auf deutsche Firmen abgesehen hat. Statt die Daten seiner Opfer zu verschlüsseln, löscht er sie einfach und verlangt dann trotzdem Lösegeld.

Kurioserweise ist der Trojaner in Delphi verfasst, eine Programmiersprache, die heutzutage nicht mehr besonders oft anzutreffen ist – vor allem nicht bei Malware. Auffällig ist auch, dass es bisher so gut wie keine Meldungen über Ausbrüche in freier Wildbahn gibt.

Als PDF getarnte EXE-Dateien

Verschiedene Sicherheitsforscher haben den Schadcode mittlerweile recht gut untersucht. Er wird als ZIP-Archiv versandt, das an einer gut gemachten Phishing-Mail anhängt. Öffnet das Opfer dieses Archiv, werden zwei EXE-Dateien extrahiert, die sich durch die Endung .pdf.exe und ein angepasstes Icon als legitime PDF-Dokumente tarnen. Vor allem Nutzer, welche die Anzeige von Datei-Endungen deaktiviert haben (was der Standardeinstellung unter modernen Windows-Versionen entspricht), könnten deswegen denken, es handelt sich um PDF-Dateien. Führt das Opfer einen Doppelklick auf eine der beiden Dateien (dem Namen nach eine angebliche Bewerbung und ein Lebenslauf) aus, wird der Trojaner aktiv.

Ein uns zugespieltes Sample der Malware benennt eine große Anzahl von Dateien verschiedenster Endungen um (von Bild- und Video-Dateien über verschiedenste Dokumente bis hin zu Backup-Archiven) und löscht deren Inhalt. Dateien im Windows-Verzeichnis werden in der Regel verschont. Der Trojaner legt außerdem ein HTML-Dokument mit einer Erpresserbotschaft an, die per JavaScript eine Bitcoin-Adresse aus einer Liste von knapp einhundert möglichen Adressen auswählt.

Tests von heise Security ergaben, dass der Schadcode auf Windows XP, Vista, 7 und 8 erfolgreich Datei-Inhalte löscht. Ein aktuelles Windows-10-System überstand den Angriff aus uns bisher unbekannten Gründen ohne Schäden.

Ausbruch abgewendet?

Bisherigen Recherchen zufolge wurde der Schädling entdeckt, als eine unbekannte Person die Erpressernachricht des Trojaners beim Dienst ID-Ransomware hochlud. Später entdeckte ein Sicherheitsforscher der Firma G-Data dann eine Kopie des Schadcodes. Bisher sind heise Security keine Firmen oder Individuen außerhalb der IT-Security-Gemeinde bekannt, die Ordinypt per Mail erhalten hätten, geschweige denn infiziert worden sind. Aktuell entdecken die meisten namhaften Anti-Viren-Programme den Schädling, so dass fast alle Anwender mit aktuellem Virenschutz vor einer Infektion gewappnet sein müssten.

Demnach ist unklar, ob Ordinypt überhaupt nennenswerte Schäden in Deutschland angerichtet hat und welchen Zweck die Verfasser des Trojaners letztendlich verfolgt haben. Auf den ersten Blick scheint es sich um einen Wiper-Trojaner zu handeln, der ähnlich wie NotPetya und WannaCry hauptsächlich Verwirrung stiften und Schäden verursachen sollte, anstatt möglichst viel Geld zu erpressen. Andererseits zeichnete sich bei diesen Ausbrüchen sehr schnell ein gewaltiges Ausmaß von infizierten Systemen ab, wohingegen Ordinypt kaum oder gar keinen Schaden angerichtet zu haben scheint.

 

 

Software für Ärzte: DATA-AL – Ihre Praxisverwaltungssoftware für 2024

Software für Ärzte gesucht? Data-AL ist eine leicht zu bedienende und im höchsten Maße praxisorientierte Software, die Ärzten mehr Sicherheit, weniger Papier und vor allem eine effizientere Organisation bringt. Die Data-AL Lösung ist auch für Gemeinschaftspraxen und Betriebsärzten geeignet.

Stapelsignatur, Komfortsignatur – Digitale Signaturen im Medizinwesen

Digitale Signaturen: Entdecken Sie die Bedeutung und Anwendung einer digitalen Signatur in der Telematikinfrastruktur für eRezepte und eAU. Erfahren Sie mehr über Einzel-, Stapel- und Komfortsignaturen und wie sie den medizinischen Alltag vereinfachen.

Das eRezept und seine Integration in das Praxisverwaltungssystem von Data-AL

Entdecken Sie auf Netzleiter.net die Integration des eRezepts in Data-AL und wie es die medizinische Praxis modernisiert. Erfahren Sie mehr über die Vorteile digitaler Rezepte für Patienten und medizinisches Fachpersonal, sowie die verschiedenen Arten von digitalen Signaturen, die den Verschreibungsprozess effizienter und sicherer machen.

PDF-Formate: Ein umfassender Leitfaden zu PDF, PDF/A und PDF/X

Ein tiefer Einblick in die verschiedenen PDF-Formate, ihre spezifischen Anwendungen und wie sie die Darstellung und den Austausch von Dokumenten vereinfachen.

Top 10 der beliebtesten deutschen Passwörter 2023

Ein Alptraum für Systemadministratoren: Passwortunsicherheit im HomeOffice-Zeitalter Seit dem Beginn der Pandemie hat die Verschiebung zur Arbeit im HomeOffice neue Angriffspunkte eröffnet, die vielen Unternehmen ernsthafte Sorgen bereiten. Ein wesentlicher...

Die Bedeutung der §75b KBV-Richtlinie: Ein Überblick und Bewertung für Arztpraxen

Erfahren Sie mehr über die §75b KBV-Richtlinie, ihre Auswirkungen auf die IT-Sicherheit in Arztpraxen, MVZ, wie Ihnen Netzleiter helfen kann und die Pro und Kontra Argumente dieser wichtigen Regulierung im Gesundheitswesen

IT-Wartungsverträge: Ihre Investition in stetige Betriebsbereitschaft | Netzleiter

Entdecken Sie den Mehrwert von IT-Wartungsverträgen mit Netzleiter. Unsere Serviceverträge garantieren eine kontinuierliche Betriebsbereitschaft und sorgen für eine optimierte IT-Infrastruktur in Ihrem Unternehmen. Kontakt: 040 20 94 97 67

Die KBV-Richtlinie §75b: Ein umfassender Leitfaden zur IT-Sicherheit in medizinischen Einrichtungen

Entdecken Sie die KBV-Richtlinie §75b, die die IT-Sicherheit in medizinischen Einrichtungen regelt. Erfahren Sie, wie Netzleiter GmbH & Co. KG Ihnen hilft, die Anforderungen dieser Richtlinie zu erfüllen.

Pro und Kontra Argumente zu §75b KBV-Richtlinie

Die Richtlinie §75b des Sozialgesetzbuchs (SGB) V bezieht sich auf die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung in Deutschland. Die Kassenärztliche Bundesvereinigung (KBV) hat den Auftrag, Anforderungen zur Gewährleistung der...

Effizienter IT-Support durch Netzleiters Technisches Backoffice | Professionelle IT-Lösungen in Hamburg

Erhalten Sie effiziente IT-Service durch unser technisches Backoffice – Ihr zuverlässiger IT-Dienstleister für IT-Support, Infrastruktur, Sicherheit und Wartung. Profitieren Sie von unserer technischen Hotline, unseren Lösungen und einer sehr guten Reaktionszeit für minimale Ausfallzeiten und maximale Kundenzufriedenheit.