Ordinypt Malware: Neue Mailspam-Kampagne trifft Deutschland

Eine Ordinypt Malware Welle trifft erneut auf Deutschland. Ordinypt ist eine äußerst zerstörerische Schadsoftware, die vorgibt, Ransomware zu sein. Tatsächlich aber werden die Dateien der Opfer nicht verschlüsselt, sondern unwiderruflich überschrieben.

Es ist nicht die erste Spam-Kampagne, die Deutschland dieses Jahr trifft. Anfang August hatten wir es mit German Wiper zu tun. Auch Ordinypt Wiper funktioniert nach demselben Prinzip wie jetzt damals die German Wiper Malware. Diese Schadsoftware verschlüsselt keine Dateien, sondern schreibt ihren Inhalt mit Nullen neu und zerstört so dauerhaft die Daten der Nutzer. Lösegeld für das (angebliche) Entschlüsseln der Daten verlangt man aber trotzdem.


Augen auf bei dieser Bewerbung

Wie schon zuvor beim German Wiper, richtet sich Ordinypt Wiper derzeit hauptsächlich an deutschsprachige Opfer. Die E-Mail-Spam (Mailspam) Kampagne gibt vor, eine Bewerbung einer Person namens „Eva Richter“ zu sein. Diese E-Mails tragen den Betreff „Bewerbung via Arbeitsagentur – Eva Richter“.

Ordinypt installer

Ordinypt installer

Der Text der Bewerbung lautet:

„Sehr geehrte Damen und Herren,

hiermit bewerbe mich auf die von Ihnen bei der Arbeitsagentur angebotene Stelle.

Das von Ihnen beschriebene Tätigkeitsfeld entspricht in besonderem Maße meinen beruflichen Perspektiven. Meine Bewerbungsunterlagen finden Sie im Anhang.

Über eine Einladung zu einem persönlichen Vorstellungsgespräch würde ich mich sehr freuen.

Mit freundlichen Grüßen

Eva Richter“

Als Anhang wird eine Datei mit dem Namen „Eva Richter Bewerbung und Lebenslauf.pdf.exe“ angehängt. Beim Öffnen dieser pdf.exe fängt dann der Bildschirm an in verschiedenen Farben zu blinken und der Rechner des Opfers wird verschlüsselt, bzw. in Wahrheit werden die Daten zerstört.

Ordinypt Wiper zerstört Daten dauerhaft

Wie schon zuvor beim German Wiper zerstört auch der Ordinypt Wiper die Daten der Nutzer, indem er die Dateien der Opfer überschreibt. Dieser Prozess ist fast identisch mit der Funktionsweise einer Ransomware, z. B. das Überspringen von Dateien, das Beenden von Prozessen, das Löschen bestimmter Erweiterungen und das Anhängen einer Erweiterung an die „verschlüsselten“ Dateien. Auch wird die Windows 10-Wiederherstellungsumgebung deaktiviert, nachdem das Löschen abgeschlossen ist.

Eva Richter Bewerbung und Lebenslauf

Eva Richter Bewerbung und Lebenslauf

Lösegeld Forderung über eine Tor-Seite

Nachdem Ordinypt Wiper alle Daten auf dem befallenen Rechner gelöscht hat, findet sich in jedem Ordner eine Lösegeldforderung [extension] _how_to_decrypt.txt. Enthalten, eine Anweisung wie man über eine Seite im Deepweb eine Lösegeldzahlung vornehmen kann, um ein Tool zum Entschlüsseln der Daten zu erhalten. Die Lösegeldforderung liegt in den bisher bekannten Fällen bei 0,1473766 BTC, umgerechnet sind dies ungefähr 1.518,92 USD.

Wie weiter oben schon erwähnt, zu diesem Zeitpunkt sind all Ihre Daten bereits unwiederbringlich gelöscht. Eine Lösegeldzahlung würde also nichts weiter bringen, als das sich die „Bösen Buben“ ins Fäustchen lachen. In der Regel löscht Ordinypt Wiper auch die Windows Schattenkopien. Es sind aber auch Fälle bekannt, in denen ein User nach einer Infektion mit der Malware sein System mit Hilfe dieser Windows Schattenkopien wiederherstellen konnte. Ist man von dieser Malware betroffen, sollte man es auf jeden Fall versuchen.

Tarnkappe.info

 

Beitragsbild Michael Geiger, thx! (unsplash licence)

Vielleicht gefällt dir auch