Ransomware “Ordinypt” greift als E-Mail-Bewerbung getarnt an

G Data hat vor einer neuerlichen Welle angeblicher Bewerbungen per E-Mail gewarnt, mit denen Ransomware verbreitet werden soll. Eine derartige Attacke, bei der gezielt Personalabteilungen mit darauf angepassten Anschreiben ins Visier genommen wurden, sorgte bereits zur Jahreswende 2016/17 für Schlagzeilen. Damals warnten Polizei und Bundesbehörden vor einer als Goldeneye bezeichneten und in angehängten Excel-Dateien verbreiteten Ransomware.

Ordinypt respektive HSDFSDCrypt (oder vollständig Win32.Trojan-Ransom.HSDFSDCrypt.A) kommt dagegen wie viele andere Schadprogramme auch als vermeintliche PDF-Datei im E-Mail-Anhang. Laut G-Data richten sich die E-Mails, mit denen Ordinypt verbreitet wird, gezielt an deutsche Unternehmen und sind in fehlerfreiem Deutsch verfasst.

Auch die Erpressernachricht auf den befallenen Rechnern ist in einwandfreiem Deutsch gehalten. Mit ihr werden für die Entschlüsselung 0,12 Bitcoin (derzeit rund 600 Euro) gefordert. Die Zahlung muss binnen sieben Tagen erfolgen. Andernfalls drohen die Kriminellen, den Decrypt-Key unweigerlich zu vernichten.

Eine der E-Mails, über die die Ransomware Ordinypt alias HSDFSCrypt verbreitet wird. (Screenshot: G Data)

Bei der Analyse offenbarten sich einige, für derartige Malware untypische Eigenschaften. So ist der Programmcode zum Beispiel in Delphi. Die Nachricht enthält zudem Code, der jedes Mal eine neue Bitcoin-Adresse generiert, an die die Lösegeldzahlung erfolgen soll. Damit soll nach Auffassung von G-Data-Analyst Karsten Hahn die Verfolgung der Zahlungsströme für die Ermittlungsbehörden erschwert werden. Bisher sei dieses Verfahren noch bei keiner anderen Ransomware entdeckt worden.

Wie bei jeder Ransomware verschlüsselt auch Ordinypt die Dateien auf dem Rechner der Opfer. Die Dateinamen werden dabei scheinbar zufällig gewählt. In den Dateien selbst werden die verschlüsselten Daten noch zudem noch einmal in base64kodiert. Einen Grund dafür haben die Experten von G Data bislang noch nicht herausgefunden.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

16 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

17 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago