· Mehdi Aroui · Cybersecurity  · Lesedauer von ca. 2 Min.

Ordinypt: Der Trojaner, der vorgibt Ransomware zu sein

Ordinypt richtet sich gegen deutsche Personalabteilungen, löscht Dateien statt sie zu verschlüsseln und fordert dennoch Lösegeld. Eine ungewöhnliche Malware-Variante.

Ordinypt richtet sich gegen deutsche Personalabteilungen, löscht Dateien statt sie zu verschlüsseln und fordert dennoch Lösegeld. Eine ungewöhnliche Malware-Variante.

Auch fast zehn Jahre später bleibt der Ordinypt-Fall lehrreich, weil Wiper-Malware, die vorgibt Ransomware zu sein, seitdem als Angriffsmuster im staatlichen und kriminellen Bereich verbreitet geblieben ist. Im November 2017 tauchte eine ungewöhnliche Malware auf, die gezielt deutsche Personalabteilungen angreift. Ordinypt, auch bekannt als HSDFSDCrypt, ähnelt auf den ersten Blick typischer Ransomware, verhält sich aber fundamental anders: Der Trojaner löscht Dateien, statt sie zu verschlüsseln, und fordert trotzdem Lösegeld.

Warum Ordinypt gefährlicher als Ransomware ist

Bei echter Ransomware sind Dateien verschlüsselt, aber technisch noch vorhanden. Mit dem richtigen Schlüssel oder einem Backup ist eine Wiederherstellung möglich. Ordinypt macht das unmöglich: Die Dateien werden gelöscht und durch Dummy-Inhalte ersetzt. Wer Lösegeld zahlt, bekommt nichts zurück.

Verbreitung und Angriffsmuster

Ordinypt verbreitet sich als ZIP-Archiv über Phishing-E-Mails, die auf Stellenausschreibungen oder Bewerbungsunterlagen hinweisen. Die ZIP-Datei enthält zwei ausführbare Dateien mit Endungen wie “.pdf.exe”. Durch gefälschte PDF-Icons wirken die Dateien auf den ersten Blick wie harmlose Dokumente.

Der Trojaner ist in Delphi geschrieben, einer Programmiersprache, die in der Malware-Entwicklung ungewöhnlich ist und von einigen Antivirusprogrammen zunächst übersehen wurde.

Was der Trojaner tut

Nach der Ausführung:

  • Dateien verschiedenster Formate werden umbenannt (Bilder, Videos, Dokumente, Backup-Archive)
  • Die Dateiinhalte werden gelöscht und durch Zufallsdaten ersetzt
  • Windows-Systemdateien bleiben unberührt
  • Ein HTML-Dokument mit einer Erpresserbotschaft und Bitcoin-Zahlungsanweisung wird erstellt
  • JavaScript wählt aus etwa hundert verschiedenen Bitcoin-Adressen aus

Auf Windows XP, Vista, 7 und 8 wurden erfolgreiche Dateilöschungen bestätigt. Ein Windows-10-System blieb in Tests unberührt, wobei die Ursache unklar blieb.

Schutzmaßnahmen

Aktuelle Antivirusprogramme erkennen Ordinypt zum Zeitpunkt der Veröffentlichung bereits. Die wichtigste Schutzmaßnahme bleibt dennoch Prävention:

  • E-Mail-Anhänge unbekannter Absender nicht öffnen
  • Dateiendungen in Windows anzeigen lassen, damit “.pdf.exe” sichtbar wird
  • Mitarbeitende in Personalabteilungen gezielt für Phishing-Angriffe sensibilisieren
  • Regelmäßige Backups nach dem 3-2-1-Prinzip, sodass eine Löschattacke keine dauerhaften Schäden hinterlässt

Häufige Fragen

Warum ist Ordinypt gefährlicher als klassische Ransomware?

Bei echter Ransomware sind Dateien verschlüsselt, aber technisch noch vorhanden, mit Schlüssel oder Backup lässt sich wiederherstellen. Ordinypt löscht die Dateien und ersetzt sie durch Dummy-Inhalte. Wer Lösegeld zahlt, bekommt nichts zurück, weil es nichts zum Entschlüsseln gibt.

Wie verbreitet sich Ordinypt?

Über ZIP-Archive in Phishing-E-Mails, die auf Stellenausschreibungen oder Bewerbungsunterlagen hinweisen. Die ZIP-Datei enthält ausführbare Dateien mit Endungen wie “.pdf.exe”, die durch gefälschte PDF-Icons harmlos wirken.

Erkennen Antivirusprogramme Ordinypt?

Zum Zeitpunkt der Veröffentlichung erkennen aktuelle Antivirusprogramme Ordinypt bereits. Die wichtigste Schutzmaßnahme bleibt trotzdem Prävention, also unbekannte Anhänge nicht öffnen, Dateiendungen anzeigen lassen und Mitarbeitende in Personalabteilungen gezielt sensibilisieren.

Netzleiter betreut KMU in Hamburg und der Metropolregion bei Phishing-Prävention und dem Aufbau belastbarer Backup-Strategien nach dem 3-2-1-Prinzip.

Back to Blog

Related Posts

View All Posts »
Cyberkriminalität: Erscheinungsformen und Schutz 2026

Cyberkriminalität: Erscheinungsformen und Schutz 2026

Phishing, Ransomware, Darknet-Marktplätze: Die Grundtaxonomie der Cyberkriminalität gilt seit Jahren. Was sich verändert hat, sind Geschwindigkeit, Automatisierung und die Ziele. Ein Überblick für KMU-Entscheider.

Incident Response für KMU: Leitfaden nach Ransomware

Incident Response für KMU: Leitfaden nach Ransomware

Der Bildschirm zeigt eine Lösegeldforderung, und die Frage lautet nicht ob, sondern was jetzt. Dieser Leitfaden führt Sie Schritt für Schritt durch die ersten Stunden, die Meldepflichten und den sauberen Wiederanlauf.