Seit wenigen Tagen wird die als Ordinypt oder auch HSDFSDCrypt bekannte Erpressungssoftware von Sicherheitsforschern untersucht. Sie hat es scheinbar auf deutsche Unternehmen abgesehen und kommt als getarnte EXE-Dateien daher, die zumeist als ZIP-Archiv im Anhang einer Phishing-Mail verschickt werden. Öffnet das Opfer diesen Anhang, extrahieren sich zwei EXE-Dateien, die durch die Endung .pdf.exe gekennzeichnet sind. Ein Doppelklick darauf aktiviert den Trojaner.
Ordinypt löscht anstatt zu verschlüsseln
Ein Rätsel, das Ordinypt aufgibt, ist das Vorgehen der Schadsoftware, da sie verschiedenste Dateien (Bild, Video, Dokumente etc.) nicht verschlüsselt, wie für Erpressungstrojaner üblich, sondern diese umbenennt und deren Inhalt löscht. Gleichzeitig legt Ordinypt ein HTML-Dokument an, das die Erpresserbotschaft sowie eine Bitcoin-Adresse enthält. Die Forderung nach Lösegeld bleibt also demnach nicht aus.
Laut verschiedenen Tests, die von heise Security durchgeführt wurden, ist die Ransomware auf Windows XP, Vista, 7 und 8 erfolgreich. Aus bisher ungeklärten Gründen konnte ein aktuelles Windows-10-System allerdings nicht infiziert werden.
—————
Mehr Informationen:
—————
Keine Details zu Schäden durch Ordinypt in Deutschland
Interessant ist auch, dass Ordinypt in der Programmiersprache Delphi geschrieben wurde, die heute und vor allem bei Schadsoftware kaum noch Verwendung findet. Meldungen über Infizierungen mit der Ransomware sind bisher so gut wie ausgeblieben, weswegen unklar ist, ob in Deutschland bereits nennenswerte Schäden durch Ordinypt angerichtet wurden. Ähnlich wie WannaCry und NoPetya scheint die Ransomware aber auf den ersten Blick eher dazu geschaffen worden zu sein, viel Schaden anzurichten, und weniger, um Geld zu erpressen.