Ordinypt: Neuer Trojaner hat deutsche Nutzer im Visier

  • Allgemein

  • HotPi
  • 1433 Aufrufe 1 Antwort

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Ordinypt: Neuer Trojaner hat deutsche Nutzer im Visier

    Ransomware löscht Daten
    Ordinypt: Neuer Trojaner hat deutsche Nutzer im Visier
    Der neue Erpressungstrojaner Ordinypt zerstört Daten unwiederbringlich. Verbreitet wird er aktuell in deutschsprachigen E-Mails.

    Nutzer in Deutschland sollten sich aktuell vor einer neuen Ransomware vorsehen. Der neu entdeckte Trojaner Ordinypt verbreitet sich derzeit über E-Mail-Anhänge in Form einer PDF-Datei. Im Vergleich zu gängigen Erpressungstrojanern weist er jedoch einige Besonderheiten auf.

    Keine Ransomware sondern ein "Wiper"

    Wie die Antivirus-Spezialisten von G-DATA berichten, gibt sich Ordinypt nämlich nur als Ransomware aus - ist in Wahrheit jedoch ein sogennanter Wiper. Hat die Schadsoftware einen Rechner befallen, werden die Daten also nicht nur verschlüsselt, um Lösegeld zu erpressen, sondern sie werden komplett gelöscht. Auch wenn ein Opfer das Lösegeld zahlt, ist also eine Wiederherstellung der Original-Daten nicht möglich.

    Auffällig ist auch, dass die E-Mail, in der die Ransomware gefunden wurde, sowie die Erpresser-Nachricht in fehlerfreiem Deutsch verfasst wurde. Zumindest die Verfasser der Nachricht dürften daher laut G-DATA Muttersprachler sein. Auf die Erpresser lässt sich davon hingegen nicht schließen.

    EXE-Dateien geben sich als PDFs aus

    Die E-Mail, in der die Ordinypt Ransomware gefunden wurde, war als Bewerbung getarnt und enthielt im Anhang ein Bewerbungsfoto sowie die Bewerbungsunterlagen als ZIP-Datei. Wurde diese entpackt, kamen zwei EXE-Dateien zum Vorschein, die jedoch durch doppelte Dateiendungen und Icon-Tricks harmlose PDF-Dateien imitieren.

    Beide EXE-Programme haben jedoch die gleiche, verheerende Wirkung: Sie löschen vorhandene Dateien und generieren zufallsgenerierten Datenmüll mit zufälligen Endungen. Dazu wird in jedem Ordner die Datei Wo_sind_meine_Dateien.html platziert, welche die Erpresser-Nachricht enthält.

    Das fehlerfreie Deutsch der Trojaner-Mail sowie der Erpresser-Nachricht passt zum vermuteten Ziel der Erpresser: Wie bei der Petya-Ransomware scheinen es die Kriminellen auf die Personalabteilungen von Firmen abgesehen zu haben.

    Neue Tricks mit Bitcoin-Adressen

    Eine weitere Besonderheit des Trojaners betrifft die Abwicklung der Lösegeldzahlungen. Wie das Security-Magazin Bleeping Computer berichtet, ist die Ransomware so aufgebaut, dass nicht stets die gleiche Bitcoin-Adresse für die Lösegeldzahlungen angegeben wird. Stattdessen wird zufällig aus einer Liste eine von 101 Adressen ausgewählt und angezeigt. Die Vorgehensweise dient vermutlich dem Zweck, die Zahlungsströme zu verschleiern. Eine derartige Vorgehensweise wurde laut G-DATA bisher nicht beobachtet.

    Unklar ist, welches Ziel die Erpresser mit der Ransomware verfolgen. Da nun bekannt ist, dass trotz Lösegeld keine Aussicht auf Wiederherstellung der vermeintlich verschlüsselten Dateien besteht, dürften kaum Opfer eine Bitcoin-Zahlung tätigen. Wahrscheinlicher erscheint daher, dass es den Angreifern lediglich darum geht, möglichst viel Schaden anzurichten.

    10.11.2017 von Manuel Medicus


    Quelle: Ordinypt Ransomware: Trojaner hat deutsche Nutzer im Visier - PC Magazin

  • Fake-Bewerbung von "Eva Richter" hat Erpressungstrojaner Ordinypt im Gepäck

    Vorsicht: Derzeit sind wieder gefälschte Bewerbungen mit gefährlichem Dateianhang in Umlauf. Wer darauf reinfällt, steht vor einem digitalen Scherbenhaufen.

    Wer dieser Tage eine Bewerbungsmail bekommt, sollte ganz genau hinschauen: Zurzeit macht eine Fake-Bewerbung mit dem Betreff "Bewerbung via Arbeitsagentur – Eva Richter" die Runde. Öffnet man die Datei im angehängten Zip-Archiv, landet direkt der Windows-Erpressungstrojaner Ordinypt auf dem Computer.

    Der Schädling fordert von Opfern Lösegeld, damit diese wieder Zugriff auf ihre Dateien bekommen. Der IT-News-Website Bleepingcomputer.com zufolge verschlüsselt Ordinypt Dateien aber nicht, sondern überschriebt diese mit Zufallsdaten, sodass sie unwiederbringlich verloren sind. Das Lösegeld in Höhe von rund 1300 Euro sollte man also auf keinen Fall zahlen.

    Hier hilft nur ein Backup, aus dem man unversehrte Daten wieder zurückspielen kann. Backups sind eine obligatorische Sicherheitsmaßnahme, die jeder regelmäßig ausführen sollte. Mehrere c't-Artikel zeigen, dass das überhaupt nicht schwer ist und auch nicht viel Zeit kostet.

    Gefährlicher Anhang
    Die Masche mit gefakten Bewerbungen Trojaner auf Computer zu bringen ist alt, funktioniert aber offensichtlich immer noch. Der Text der Mail ist in fehlerfreiem Deutsch. Im Anhang befindet sich neben einem Bild der vermeintlichen Bewerberin noch ein Zip-Archiv, in dem sich die Bewerbung und der Lebenslauf befinden sollen.

    Wer es entpackt, findet eine vermeintliche PDF-Datei vor. In Wirklichkeit handelt es sich dabei aber um eine ausführbare .exe-Datei. Standardmäßig blendet Windows aber bekannte Dateitypen aus und aus "Eva Richter Bewerbung und Lebenslauf.pdf.exe" wird "Eva Richter Bewerbung und Lebenslauf.pdf". Wer darauf reinfällt und doppelt klickt, installiert direkt die Wiper-Malware die dann zügig Dateien zerstört.

    Im Anschluss löscht Ordinypt noch die Schattenkopien von Windows. Das soll Bleepingcomputer zufolge aber nicht immer funktionieren. So könnten Opfer gegebenenfalls darüber wieder auf ältere und somit unversehrte Versionen ihrer Dateien zugreifen. Der Trojaner soll zudem die Recovery-Umgebung von Windows 10 deaktivieren.

    Quelle: Fake-Bewerbung von "Eva Richter" hat Erpressungstrojaner Ordinypt im Gepäck | heise online