Ransomware löscht Daten
Ordinypt: Neuer Trojaner hat deutsche Nutzer im Visier
Der neue Erpressungstrojaner Ordinypt zerstört Daten unwiederbringlich. Verbreitet wird er aktuell in deutschsprachigen E-Mails.
Nutzer in Deutschland sollten sich aktuell vor einer neuen Ransomware vorsehen. Der neu entdeckte Trojaner Ordinypt verbreitet sich derzeit über E-Mail-Anhänge in Form einer PDF-Datei. Im Vergleich zu gängigen Erpressungstrojanern weist er jedoch einige Besonderheiten auf.
Keine Ransomware sondern ein "Wiper"
Wie die Antivirus-Spezialisten von G-DATA berichten, gibt sich Ordinypt nämlich nur als Ransomware aus - ist in Wahrheit jedoch ein sogennanter Wiper. Hat die Schadsoftware einen Rechner befallen, werden die Daten also nicht nur verschlüsselt, um Lösegeld zu erpressen, sondern sie werden komplett gelöscht. Auch wenn ein Opfer das Lösegeld zahlt, ist also eine Wiederherstellung der Original-Daten nicht möglich.
Auffällig ist auch, dass die E-Mail, in der die Ransomware gefunden wurde, sowie die Erpresser-Nachricht in fehlerfreiem Deutsch verfasst wurde. Zumindest die Verfasser der Nachricht dürften daher laut G-DATA Muttersprachler sein. Auf die Erpresser lässt sich davon hingegen nicht schließen.
EXE-Dateien geben sich als PDFs aus
Die E-Mail, in der die Ordinypt Ransomware gefunden wurde, war als Bewerbung getarnt und enthielt im Anhang ein Bewerbungsfoto sowie die Bewerbungsunterlagen als ZIP-Datei. Wurde diese entpackt, kamen zwei EXE-Dateien zum Vorschein, die jedoch durch doppelte Dateiendungen und Icon-Tricks harmlose PDF-Dateien imitieren.
Beide EXE-Programme haben jedoch die gleiche, verheerende Wirkung: Sie löschen vorhandene Dateien und generieren zufallsgenerierten Datenmüll mit zufälligen Endungen. Dazu wird in jedem Ordner die Datei Wo_sind_meine_Dateien.html platziert, welche die Erpresser-Nachricht enthält.
Das fehlerfreie Deutsch der Trojaner-Mail sowie der Erpresser-Nachricht passt zum vermuteten Ziel der Erpresser: Wie bei der Petya-Ransomware scheinen es die Kriminellen auf die Personalabteilungen von Firmen abgesehen zu haben.
Neue Tricks mit Bitcoin-Adressen
Eine weitere Besonderheit des Trojaners betrifft die Abwicklung der Lösegeldzahlungen. Wie das Security-Magazin Bleeping Computer berichtet, ist die Ransomware so aufgebaut, dass nicht stets die gleiche Bitcoin-Adresse für die Lösegeldzahlungen angegeben wird. Stattdessen wird zufällig aus einer Liste eine von 101 Adressen ausgewählt und angezeigt. Die Vorgehensweise dient vermutlich dem Zweck, die Zahlungsströme zu verschleiern. Eine derartige Vorgehensweise wurde laut G-DATA bisher nicht beobachtet.
Lesetipp: Ransomware: 5 Strategien, wie Sie Ihre Daten schützen
Unklar ist, welches Ziel die Erpresser mit der Ransomware verfolgen. Da nun bekannt ist, dass trotz Lösegeld keine Aussicht auf Wiederherstellung der vermeintlich verschlüsselten Dateien besteht, dürften kaum Opfer eine Bitcoin-Zahlung tätigen. Wahrscheinlicher erscheint daher, dass es den Angreifern lediglich darum geht, möglichst viel Schaden anzurichten.
Weiter zur Startseite
