Ransomware Ordinypt

Erpressungstrojaner Ordinypt infiziert durch FAKE-Bewerbungen an Personalabteilungen vorwiegend Firmen in Deutschland

Heise berichtet, das allem Anschein in Deutschland ein neuer Trojaner umgeht, der bewusst auf Personalabteilungen zielt und Lösegeld erpresst. Der in der eher seltenen Programmiersprache Delphi verfasste Trojaner lässt Opfern allerdings keine Chance, ihre Daten wiederzubekommen.

Ein Erpressungstrojaner grassiert momentan in Deutschland und bedroht vor allem die Daten von Firmen. Laut einem Bericht der Sicherheitsfirma G-Data handelt es sich bei Ordinypt um einen sogenannten Wiper-Trojaner. Dieser gibt vor, wichtige Daten auf dem Rechner des Opfers zu verschlüsseln. Für die Opfer sieht also erst mal alles so aus, als sei das System von einer Ransomware befallen. Allerdings machen sich die Angreifer wohl nicht die Mühe, Daten zu verschlüsseln sondern löschen stattdessen deren Inhalt – das geforderte Lösegeld zu zahlen ist also sinnlos.

Angriff zielt erneut auf Personalabteilungen

Ähnlich wie damals beim Goldeneye-Angriff nutzen die Drahtzieher hinter Ordinypt (auch bekannt als HSDFSDCrypt) sehr sauber verfasste Phishing-Mails in nahezu fehlerfreiem Deutsch, die sie mit Vorliebe direkt an personalverantwortliche Personen in deutschen Firmen schicken. Interessanterweise ist der vermeintliche Erpressungstrojaner in Delphi geschrieben – was eine Programmiersprache für Malware angeht eine eher ungewöhnliche Wahl.

Mehr Informationen sowie Screenshots finden Sie hier bei Heise-Online

Erste Details zu Ordinypt

Wiper-Trojaner versteckt sich im Mail-Anhang

In der per Mail versendeten .zip steckt nach einem IT-Experten eine weitere .zip und in der eine .com, die eigentlich eine umbenannte .exe ist. Das Programm selbst ist laufzeitkomprimiert – wahrscheinlich um die Untersuchung zu erschweren. Irgendwelche Daten werden nachgeladen und die CryptAPI ist auch eingebunden.

Die durch Windows als PDF getarnte Gefahr

Der Anhang tarnt sich als .pdf-Datei, hat aber tatsächlich die Extension .pdf.exe und ist damit von Windows auch ausführbar. Da der normale Anwender in Firmen meistens aber die Standardeinstellung “Dateierweiterungen nicht anzeigen” eingestellt hat, werden die Zeichen rechts vom letzten (!) Punkt als Dateierweiterung betrachtet und nicht angezeigt.

Der Ordinypt-Schreiber hat der Datei das rotweiße Adobe-Icon spendiert, hat sich aber den Fehler geleistet, auch das .pdf an vorletzter Stelle im Dateinamen zu lassen, so dass das angezeigt wird. Bei gewöhnlichen .pdf-Dateien wird das eben NICHT angezeigt, und genau das hätte einem informierten Mail-Empfänger seit “Melissa” auffallen müssen.

Weitere Informationen finden Sie hier.

 

Viren-Gefahren vermeiden

Nutzen Sie einen anderen Browser als den Internet-Explorer um Ihre Standardlinks zu öffnen.

Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. “Locky” und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Word-Dokument tarnen, aber im Hintergrund die gefährliche Software ausführen. 

Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.

Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen.

Alle “extern” annehmenden Stellen von Unternehmen sind Gefahrenpunkte. Einer der Gründe warum bei vielen HR-Abteilungen die Emails von außen unter Umgehung der DMZ und des Serverparks gesondert empfangen werden. Auf Rechnern ohne Netzanbindung und von dort dann, nach Kontrollen und Checks, einen Transfer erfahren. Es ist aufwändiger und zeitintensiver, aber hat bisher immer jeden “neuen” Angriff vollkommen verhindert.

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

13 + 8 =