Klick sicher: Schadsoftware „Ordinypt“ tarnt sich als Bewerbung

Schutz gegen Erpessertrojaner (heise online)Screenshot
Schutz gegen Erpessertrojaner (heise online)Screenshot

Aktuell nehmen die sogenannten Verschlüsselungstrojaner eine bedeutende Position ein, da die Opfer mit Hilfe ihrer Daten regelrecht erpresst werden. Danny Loos von der Föderalen Kriminalpolizei Eupen stellt heute eine neue Variante vor.

Unter der großen Anzahl an Ransomware warnen wir diese Woche vor einer Variante, die sich im deutschsprachigen Raum ausbreitet und fortan „Ordinypt“ getauft wurde. Das IT-Sicherheitsunternehmen „G-DATA“ hat diesbezüglich eine Warnung auf seinem Blog veröffentlicht. Dieses "Geschäftsmodell" ist für viele Cyberkriminelle sehr lukrativ, da viele Geschädigte bereit sind, für das Wiederherstellen ihrer verschlüsselten Daten zu zahlen.

Der in der Programmiersprache „Delphi“ geschriebene Schädling kommt - als Bewerbungsschreiben getarnt – per E-Mail. Ziel einer Infektion sind damit vornehmlich Unternehmen, bzw. Personalabteilungen, die regelmäßig Bewerbungen erhalten und bearbeiten. Kein Wunder, denn Firmen sind noch mehr auf ihre Daten angewiesen als Privatpersonen. Das Schreiben sieht sehr fachmännisch aus und ist in fehlerfreiem Deutsch geschrieben. Die hierbei benutzten Identitäten ändern ständig.

Dateianhang

Auf dem ersten Blick sieht es so aus, als handele es sich bei dem Anhang um eine PDF-Datei. Wenn man diese versucht zu öffnen, aktiviert man eine ausführbare *.exe Datei und damit die eigentliche Ransomware. Heimtückisch ist, dass die Schadsoftware die Daten gar nicht verschlüsselt, sondern so verändert, dass sie als nicht wiederherstellbar gelten.

Somit ist „Ordinypt“ als eine Kombination aus Ransomware und Wiper, also Datenschredder, anzusehen. Nichts desto trotz hinlässt die Ransomware eine Erpresserbotschaft. Darin wird das Opfer auffordert 0,10 Bitcoin (ungefähr 600 Euro) zu zahlen, um die Daten zu entschlüsseln. Bezahlen macht aber keinen Sinn, da die Daten sowieso verloren sind. Für jeden Befall errechnet die Schadsoftware zudem eine eigene Bitcoin-Adresse, was die Strafverfolgung zusätzlich erschwert und bei keiner anderen Ransomware bislang zu finden war.

Tipps

  • Nur ein aktuelles Windows ist ein sicheres Windows. Prüfen Sie regelmäßig, ob bzgl. der automatischen Windows Updates Fehlermeldungen vorliegen.
  • Virenschutz sollte aktuell sein und auch den Posteingang scannen.
  • Wir raten außerdem dringend zu einer regelmäßigen Datensicherung auf einem Datenträger, der nicht dauerhaft mit dem Rechner verbunden ist.
  • Wichtige Daten sollte man zudem in der Cloud sichern.
  • Nutzer von Apple Macintosh sowie Linux-Systemen sind bislang weitgehend von der derzeitigen Flut an Ransomware verschont geblieben.

Links:

ordinypt

So-sicherst-du-Windows-10-gegen-Erpresser-Trojaner-ab

Infos: Danny Loos, RCCU Eupen, Bild: Screenshot heise online

  • iconfacebook-1
  • instagram
  • linkedin2
Podcast
-