Ordinypt hat es auf Benutzer aus Deutschland abgesehen

Die Ransomware "Ordinypt" (auch bekannt unter dem kryptischen Namen "HSDFSDCrypt") befällt derzeit hautpsächlich Benutzer aus Deutschland. Unter der Haube hat sie einige Merkmale, die herausstechen. G DATA-Analyst Karsten Hahn hat einen genaueren Blick auf die Ransomware geworfen. [...]

Durch HSDFSCrypt verschlüsselte Dateien. © G DATA
Durch HSDFSCrypt verschlüsselte Dateien. © G DATA

Auffällig ist zunächst einmal, dass Ordinypt in einer für Ransomware unüblichen Programmiersprache verfasst ist (Delphi). Die Daten werden wie bei jeder Ransomware verschlüsselt, die Dateinamen scheinbar zufällig gewählt. In den Dateien selbst werden die verschlüsselten Daten noch einmal kodiert (in base64); warum das so ist und welchen Zweck die Macher damit verfolgen, ist zum gegenwärtigen Zeitpunkt noch unklar.

Auch sonst erscheint Ordinypt auffällig unauffällig – es gibt keine Anzeichen für einen beabsichtigten Wiedererkennungswert. Der Schädling setzt stattdessen auf Effizienz.  

Besonders erwähnenswert ist die Erpressernachricht – sie ist in 100 Prozent fehlerfreiem Deutsch verfasst. Man kann davon ausgehen, dass der Verfasser des Textes ein Muttersprachler ist. Auffällig ist auch, dass in der Erpressernachricht ein Stück Programmcode versteckt ist, der jedes mal eine neue Bitcoin-Adresse generiert, an die eine Lösegeldzahlung gesendet werden soll. Bisher konnten wir dieses Verhalten noch bei keiner anderen Ransomware entdecken. Zweck dieser Vorgehensweise ist möglicherweise, die Verfolgung von Zahlungsströmen durch Strafverfolgungsbehörden zu erschweren. Anhand einer der E-Mails, in denen die Schadsoftware versteckt war, könnten Personalabteilungen ein erklärtes Ziel sein, wie seinerzeit bei Petya.

Genau wie viele andere Schadprogramme wird auch Ordinypt als PDF-Datei getarnt per E-Mail-Anhang verteilt.  

Werbung

Mehr Artikel

Christian Kranebitter, Geschäftsführer der BE-terna Unternehmensgruppe. (c) BE-Terna
News

BE-terna im „Inner Circle für Microsoft Dynamics 2018/2019“

Jedes Jahr ehrt Microsoft einen ausgewählten Kreis von Microsoft Dynamics Partnern für deren Performance im Zusammenhang mit dem Vertrieb und der Implementierung von Microsoft Dynamics. In den „Inner Circle für Microsoft Dynamics“ werden jährlich die 60 erfolgreichsten Microsoft Partner aufgenommen, die sich durch eine konstant positive Geschäftsentwicklung deutlich von anderen Partnern abheben. […]

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


This site uses Akismet to reduce spam. Learn how your comment data is processed.