· Mehdi Aroui · Cybersecurity · Lesedauer von ca. 2 Min.
Ordinypt: Der Trojaner, der vorgibt Ransomware zu sein
Ordinypt richtet sich gegen deutsche Personalabteilungen, löscht Dateien statt sie zu verschlüsseln und fordert dennoch Lösegeld. Eine ungewöhnliche Malware-Variante.

Auch fast zehn Jahre später bleibt der Ordinypt-Fall lehrreich, weil Wiper-Malware, die vorgibt Ransomware zu sein, seitdem als Angriffsmuster im staatlichen und kriminellen Bereich verbreitet geblieben ist. Im November 2017 tauchte eine ungewöhnliche Malware auf, die gezielt deutsche Personalabteilungen angreift. Ordinypt, auch bekannt als HSDFSDCrypt, ähnelt auf den ersten Blick typischer Ransomware, verhält sich aber fundamental anders: Der Trojaner löscht Dateien, statt sie zu verschlüsseln, und fordert trotzdem Lösegeld.
Warum Ordinypt gefährlicher als Ransomware ist
Bei echter Ransomware sind Dateien verschlüsselt, aber technisch noch vorhanden. Mit dem richtigen Schlüssel oder einem Backup ist eine Wiederherstellung möglich. Ordinypt macht das unmöglich: Die Dateien werden gelöscht und durch Dummy-Inhalte ersetzt. Wer Lösegeld zahlt, bekommt nichts zurück.
Verbreitung und Angriffsmuster
Ordinypt verbreitet sich als ZIP-Archiv über Phishing-E-Mails, die auf Stellenausschreibungen oder Bewerbungsunterlagen hinweisen. Die ZIP-Datei enthält zwei ausführbare Dateien mit Endungen wie “.pdf.exe”. Durch gefälschte PDF-Icons wirken die Dateien auf den ersten Blick wie harmlose Dokumente.
Der Trojaner ist in Delphi geschrieben, einer Programmiersprache, die in der Malware-Entwicklung ungewöhnlich ist und von einigen Antivirusprogrammen zunächst übersehen wurde.
Was der Trojaner tut
Nach der Ausführung:
- Dateien verschiedenster Formate werden umbenannt (Bilder, Videos, Dokumente, Backup-Archive)
- Die Dateiinhalte werden gelöscht und durch Zufallsdaten ersetzt
- Windows-Systemdateien bleiben unberührt
- Ein HTML-Dokument mit einer Erpresserbotschaft und Bitcoin-Zahlungsanweisung wird erstellt
- JavaScript wählt aus etwa hundert verschiedenen Bitcoin-Adressen aus
Auf Windows XP, Vista, 7 und 8 wurden erfolgreiche Dateilöschungen bestätigt. Ein Windows-10-System blieb in Tests unberührt, wobei die Ursache unklar blieb.
Schutzmaßnahmen
Aktuelle Antivirusprogramme erkennen Ordinypt zum Zeitpunkt der Veröffentlichung bereits. Die wichtigste Schutzmaßnahme bleibt dennoch Prävention:
- E-Mail-Anhänge unbekannter Absender nicht öffnen
- Dateiendungen in Windows anzeigen lassen, damit “.pdf.exe” sichtbar wird
- Mitarbeitende in Personalabteilungen gezielt für Phishing-Angriffe sensibilisieren
- Regelmäßige Backups nach dem 3-2-1-Prinzip, sodass eine Löschattacke keine dauerhaften Schäden hinterlässt
Häufige Fragen
Warum ist Ordinypt gefährlicher als klassische Ransomware?
Bei echter Ransomware sind Dateien verschlüsselt, aber technisch noch vorhanden, mit Schlüssel oder Backup lässt sich wiederherstellen. Ordinypt löscht die Dateien und ersetzt sie durch Dummy-Inhalte. Wer Lösegeld zahlt, bekommt nichts zurück, weil es nichts zum Entschlüsseln gibt.
Wie verbreitet sich Ordinypt?
Über ZIP-Archive in Phishing-E-Mails, die auf Stellenausschreibungen oder Bewerbungsunterlagen hinweisen. Die ZIP-Datei enthält ausführbare Dateien mit Endungen wie “.pdf.exe”, die durch gefälschte PDF-Icons harmlos wirken.
Erkennen Antivirusprogramme Ordinypt?
Zum Zeitpunkt der Veröffentlichung erkennen aktuelle Antivirusprogramme Ordinypt bereits. Die wichtigste Schutzmaßnahme bleibt trotzdem Prävention, also unbekannte Anhänge nicht öffnen, Dateiendungen anzeigen lassen und Mitarbeitende in Personalabteilungen gezielt sensibilisieren.
Netzleiter betreut KMU in Hamburg und der Metropolregion bei Phishing-Prävention und dem Aufbau belastbarer Backup-Strategien nach dem 3-2-1-Prinzip.



