· Mehdi Aroui · cybersecurity  · 2 min read

Ordinypt: Der Trojaner, der keine Ransomware ist, aber so tut als ob

Ordinypt richtet sich gegen deutsche Personalabteilungen, löscht Dateien statt sie zu verschlüsseln und fordert dennoch Lösegeld. Eine ungewöhnliche Malware-Variante.

Auch fast zehn Jahre später bleibt der Ordinypt-Fall lehrreich, weil Wiper-Malware, die vorgibt Ransomware zu sein, seitdem als Angriffsmuster im staatlichen und kriminellen Bereich verbreitet geblieben ist. Im November 2017 tauchte eine ungewöhnliche Malware auf, die gezielt deutsche Personalabteilungen angreift. Ordinypt, auch bekannt als HSDFSDCrypt, ähnelt auf den ersten Blick typischer Ransomware, verhält sich aber fundamental anders: Der Trojaner löscht Dateien, statt sie zu verschlüsseln, und fordert trotzdem Lösegeld.

Warum Ordinypt gefährlicher als Ransomware ist

Bei echter Ransomware sind Dateien verschlüsselt, aber technisch noch vorhanden. Mit dem richtigen Schlüssel oder einem Backup ist eine Wiederherstellung möglich. Ordinypt macht das unmöglich: Die Dateien werden gelöscht und durch Dummy-Inhalte ersetzt. Wer Lösegeld zahlt, bekommt nichts zurück.

Verbreitung und Angriffsmuster

Ordinypt verbreitet sich als ZIP-Archiv über Phishing-E-Mails, die auf Stellenausschreibungen oder Bewerbungsunterlagen hinweisen. Die ZIP-Datei enthält zwei ausführbare Dateien mit Endungen wie “.pdf.exe”. Durch gefälschte PDF-Icons wirken die Dateien auf den ersten Blick wie harmlose Dokumente.

Der Trojaner ist in Delphi geschrieben, einer Programmiersprache, die in der Malware-Entwicklung ungewöhnlich ist und von einigen Antivirusprogrammen zunächst übersehen wurde.

Was der Trojaner tut

Nach der Ausführung:

  • Dateien verschiedenster Formate werden umbenannt (Bilder, Videos, Dokumente, Backup-Archive)
  • Die Dateiinhalte werden gelöscht und durch Zufallsdaten ersetzt
  • Windows-Systemdateien bleiben unberührt
  • Ein HTML-Dokument mit einer Erpresserbotschaft und Bitcoin-Zahlungsanweisung wird erstellt
  • JavaScript wählt aus etwa hundert verschiedenen Bitcoin-Adressen aus

Auf Windows XP, Vista, 7 und 8 wurden erfolgreiche Dateilöschungen bestätigt. Ein Windows-10-System blieb in Tests unberührt, wobei die Ursache unklar blieb.

Schutzmaßnahmen

Aktuelle Antivirusprogramme erkennen Ordinypt zum Zeitpunkt der Veröffentlichung bereits. Die wichtigste Schutzmaßnahme bleibt dennoch Prävention:

  • E-Mail-Anhänge unbekannter Absender nicht öffnen
  • Dateiendungen in Windows anzeigen lassen, damit “.pdf.exe” sichtbar wird
  • Mitarbeitende in Personalabteilungen gezielt für Phishing-Angriffe sensibilisieren
  • Regelmäßige Backups nach dem 3-2-1-Prinzip, sodass eine Löschattacke keine dauerhaften Schäden hinterlässt
Share:
Back to Blog

Related Posts

View All Posts »
Cyberkriminalität: Erscheinungsformen und Schutz 2026

Cyberkriminalität: Erscheinungsformen und Schutz 2026

Phishing, Ransomware, Darknet-Marktplätze: Die Grundtaxonomie der Cyberkriminalität gilt seit Jahren. Was sich verändert hat, sind Geschwindigkeit, Automatisierung und die Ziele. Ein Überblick für KMU-Entscheider.