Ordinypt: Vermeintlicher Erpressungstrojaner-Ausbruch in Deutschland gibt Rätsel auf

14.11.2017 | Computer, Sicherheit

[QUELLE: https://www.heise.de/security/meldung/Ordinypt-Vermeintlicher-Erpressungstrojaner-Ausbruch-in-Deutschland-gibt-Raetsel-auf-3889143.html ]

Fabian A. Scherschel

Die vor kurzem aufgetauchte Ransomware Ordinypt löscht Dateien, statt sie zu verschlüsseln und hat es mit Fake-PDF-Dateien auf deutsche Personalabteilungen abgesehen. Allerdings gibt es bisher kaum Anzeichen auf Infektionen in freier Wildbahn.

Seit ein paar Tagen untersuchen Sicherheitsforscher den Erpressungstrojaner Ordinypt (oder auch HSDFSDCrypt), der es anscheinend auf deutsche Firmen abgesehen hat. Statt die Daten seiner Opfer zu verschlüsseln, löscht er sie einfach und verlangt dann trotzdem Lösegeld.

Kurioserweise ist der Trojaner in Delphi verfasst, eine Programmiersprache, die heutzutage nicht mehr besonders oft anzutreffen ist – vor allem nicht bei Malware. Auffällig ist auch, dass es bisher so gut wie keine Meldungen über Ausbrüche in freier Wildbahn gibt.

Als PDF getarnte EXE-Dateien

Verschiedene Sicherheitsforscher haben den Schadcode mittlerweile recht gut untersucht. Er wird als ZIP-Archiv versandt, das an einer gut gemachten Phishing-Mail anhängt. Öffnet das Opfer dieses Archiv, werden zwei EXE-Dateien extrahiert, die sich durch die Endung .pdf.exe und ein angepasstes Icon als legitime PDF-Dokumente tarnen. Vor allem Nutzer, welche die Anzeige von Datei-Endungen deaktiviert haben (was der Standardeinstellung unter modernen Windows-Versionen entspricht), könnten deswegen denken, es handelt sich um PDF-Dateien. Führt das Opfer einen Doppelklick auf eine der beiden Dateien (dem Namen nach eine angebliche Bewerbung und ein Lebenslauf) aus, wird der Trojaner aktiv.

Ein uns zugespieltes Sample der Malware benennt eine große Anzahl von Dateien verschiedenster Endungen um (von Bild- und Video-Dateien über verschiedenste Dokumente bis hin zu Backup-Archiven) und löscht deren Inhalt. Dateien im Windows-Verzeichnis werden in der Regel verschont. Der Trojaner legt außerdem ein HTML-Dokument mit einer Erpresserbotschaft an, die per JavaScript eine Bitcoin-Adresse aus einer Liste von knapp einhundert möglichen Adressen auswählt.

Tests von heise Security ergaben, dass der Schadcode auf Windows XP, Vista, 7 und 8 erfolgreich Datei-Inhalte löscht. Ein aktuelles Windows-10-System überstand den Angriff aus uns bisher unbekannten Gründen ohne Schäden.

Ausbruch abgewendet?

Bisherigen Recherchen zufolge wurde der Schädling entdeckt, als eine unbekannte Person die Erpressernachricht des Trojaners beim Dienst ID-Ransomware hochlud. Später entdeckte ein Sicherheitsforscher der Firma G-Data dann eine Kopie des Schadcodes. Bisher sind heise Security keine Firmen oder Individuen außerhalb der IT-Security-Gemeinde bekannt, die Ordinypt per Mail erhalten hätten, geschweige denn infiziert worden sind. Aktuell entdecken die meisten namhaften Anti-Viren-Programme den Schädling, so dass fast alle Anwender mit aktuellem Virenschutz vor einer Infektion gewappnet sein müssten.

Demnach ist unklar, ob Ordinypt überhaupt nennenswerte Schäden in Deutschland angerichtet hat und welchen Zweck die Verfasser des Trojaners letztendlich verfolgt haben. Auf den ersten Blick scheint es sich um einen Wiper-Trojaner zu handeln, der ähnlich wie NotPetya und WannaCry hauptsächlich Verwirrung stiften und Schäden verursachen sollte, anstatt möglichst viel Geld zu erpressen. Andererseits zeichnete sich bei diesen Ausbrüchen sehr schnell ein gewaltiges Ausmaß von infizierten Systemen ab, wohingegen Ordinypt kaum oder gar keinen Schaden angerichtet zu haben scheint.

 

 

CCHH

Hier werden die Termine vereinbart: Online planen

Lithium-Ionen-Akku richtig behandeln: Tipps für maximale Lebensdauer

Erfahren Sie, wie Sie Ihren Lithium-Ionen-Akku richtig behandeln, um seine Lebensdauer zu maximieren. Erfahren Sie, warum die richtige Handhabung wichtig ist und erhalten Sie praktische Tipps zum Aufladen und zur Vermeidung von Überhitzung.

Passwortmanager für Unternehmen: Pleasant Password-Server 2023

Erfahren Sie, warum die Verwendung eines Passwortmanagers unerlässlich ist und wie dieser Ihre Passwortsicherheit verbessern kann. Lesen Sie unseren Artikel von Netzleiter und entdecken Sie, wie Sie durch die Verwendung von sicheren Passwörtern, Master-Passwort und Datenverschlüsselung Ihr Unternehmen vor unbefugtem Zugriff schützen können. Pleasant Passwortmanager mit Netzleiter

Cybersicherheit: EU verpflichtet Unternehmen zu höherem Schutz vor Cyberangriffen

Cybersicherheit ist ein wichtiger Faktor im digitalen Zeitalter. Als IT-Dienstleister bietet Netzleiter umfassende Lösungen und Dienstleistungen für Unternehmen und Organisationen, um ihre Daten und Systeme sicher zu schützen. Unser Team verfügt über fundierte Fachkenntnisse und jahrelange Erfahrung im Bereich der Cybersicherheit, um Ihnen ein Höchstmaß an Schutz und Sicherheit zu bieten. Kontaktieren Sie uns noch heute, um mehr darüber zu erfahren, wie wir Ihnen helfen können, Ihre Cybersicherheit zu verbessern.

Candis: Die digitale Rechnungserfassung und Freigabe für Unternehmen

Candis revolutioniert die Buchhaltung für Unternehmen. Mit der digitalen Rechnungsfreigabe, OCR-Erkennung und automatischem Import wird die Buchhaltung einfach, schlank und effektiv. Netzleiter, Ihr Experte für Digitalisierung, unterstützt Sie bei der Umsetzung.

iPhone fragt nach 6-stelligen Kennwort, den ich nie eingestellt habe? So geht’s

Ihr iPhone fragt nach 6-stelligen Kennwort? Diesen Passcode haben Sie nie eingestellt ? Geraten Sie nicht in Panik! Ihr iPhone hat den Code einfach um die letzte Ziffer um zwei Ziffer verlängert.

Qualifizierte elektronische Signatur (QES): Ihr Einstieg in die digitale Signatur

Die qualifizierte elektronische Signatur ist in der EU-Verordnung eIDAS beschrieben. Wir beraten Sie gerne zu diesem Thema. Nutzen Sie auch die Möglichkeit einer staatlichen Förderung um die digitalen Signaturen in Unternehmen einzuführen.

Passwörter der Zukunft

Ein Passwortmanager ist ein Tool, das es ermöglicht, alle Passwörter sicher an einem Ort zu speichern und mit einem Master-Passwort auf sie zuzugreifen. Apple, Microsoft und Google haben neue Standards für Passwörter eingeführt, um die Sicherheit zu verbessern, wie Face ID, Touch ID, „passwordless phone sign-in“ und Google-Kontoschlüssel. Der FIDO Standard soll die Passwortverwendung reduzieren, indem biometrische Authentifizierung und sichere Hardware-Tokens verwendet werden.

Künstliche Intelligenz nutzen mit OpenAI

Künstliche Intelligenz (KI) kann schnell und präzise Entscheidungen treffen, menschliche Fehler minimieren und Prozesse automatisieren, was Zeit und Ressourcen sparen kann. KI kann auch in komplexen Bereichen wie der Diagnose von Krankheiten oder der Vorhersage von Naturkatastrophen nützlich sein.

Windows 10 erhält größtes und letztes Update – Windows 10 22H2

Wichtige Info: Microsoft unterstützt Windows 10 nur noch bis Oktober 2025

Fernwartungstools:

Kunden-Modul pcvisit Support 15.0 starten

Sonstige Fernwartungstools:

Sonstige Fernwartungstools

Support Hotline:

040 25 499 500

Vertriebshotline:

040 20 94 97 67