Ordinypt: Neue Ransomware zielt einmal mehr auf deutsche Unternehmen

Aktuell kursiert einmal mehr eine neue Ransomware namens „Ordinypt“, die das deutsche Security-Unternehmen G DATA entdeckt hat. Der neue Schädling auch unter dem Namen „HSDFSDCrypt“ bekanntund  wird über eine E-Mail mit einer angeblichen Bewerbung für eine Stellenausschreibung verbreitet. Die Zielvorgabe für den ungewollten Gast ist daher einmal mehr die deutsche Unternehmerschaft.

HSDFSCrypt E-Mail

Die Ransomware verfolgt typischerweise das Ziel, Daten zu verschlüsseln und frei zu erpressen. Bei der näheren Analyse zeigten sich aber ein paar für diese Art von Malware untypischen Eigenschaften: Der Programmcode ist beispielsweise in Delphi geschrieben und darüber hinaus ist der Mail-Text im fehlerfreien Deutsch verfasst. Man darf also davon ausgehen, dass der Verfasser des Textes wie auch der Schädling an sich aus deutschen Landen stammen.

Die Nachricht enthält außerdem Code, der jedes Mal eine neue Bitcoin-Adresse generiert, an die die Lösegeldzahlung erfolgen soll. G DATA geht davon aus, dass so die Verfolgung der Zahlungsströme für die Ermittlungsbehörden logischerweise erschwert werden soll.

Auch sonst erscheint Ordinypt auffällig unauffällig – es gibt keine Anzeichen für einen beabsichtigten Wiedererkennungswert. Der Schädling setzt stattdessen auf Effizienz. Ob er somit nur ein weiterer Ransomware-Ableger ist oder unfreundliches „Potential“ für mehr bietet, wird daher die Zukunft zeigen.

HSDFSCrypt vefschlüsselte Dateien

Die neue Schadsoftware wird von G DATA-Lösungen unter dem Namen Win32.Trojan-Ransom.HSDFSDCrypt.A erkannt, Kunden von G DATA gelten aktuell als geschützt vor der neuen Ransomware. Der Anhang, in dem HSDFSDCrypt verschickt wird, hat die Signatur Archive.Malware.FakeExt.N@susp.

Wer sich selbst mit dem Sezieren solcher Schädlinge befasst, dürfte indes die folgenden Details interessant finden:

E-Mail: b7cb3160025a0bbdcd453a9be490a9e7b1d9505b4f290355e82a6965d0c9e5e4
E-Mail-Attachment (zip): d4e66191e4e8fc22986efc4a84247f3810e969b89a7c331550960e32c278cad3
Sample EXE: 085256b114079911b64f5826165f85a28a2a4ddc2ce0d935fa8545651ce5ab09

Oliver Pifferi

Stolzer Familienvater. Digital Native und Cloud-Evangelist. Multimedia-Freak. Bekennender USA- und UK-Fan. Blogger mit stets zu wenig Zeit. Hobbyphilosoph. #JustMetal. Querdenker. Zyniker. Hauptberuflicher IT-Consultant- & Vertriebler. Auch zu finden bei LinkedIn. Dieser Artikel hat einen Job oder zumindest Euren Seelenfrieden gerettet und gegebenenfalls sogar für Kurzweil gesorgt? Die PayPal-Kaffeekasse freut sich - dankeschön!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

%d Bloggern gefällt das: