Erpressungstrojaner Ordinypt Deutsche Firmen im Fokus

Eine neue Ransomware ist unterwegs – und hat es auf deutsche Firmen abgesehen. Ordinypt verhält sich zwar wie eine Ransomware, doch einmal verschlüsselte Daten sind auch nach der Lösegeldzahlung weg.

Wie die Cybersecurity Firma GData berichtet, geht eine neue Ransomware um.

Auffällig ist, dass Ordinypt in Delphi verfasst ist, einer für Ransomware unüblichen Programmiersprache. Die Daten werden wie bei jeder Ransomware verschlüsselt, die Dateinamen scheinbar zufällig gewählt. In den Dateien selbst werden die verschlüsselten Daten noch einmal kodiert (in base64).

Auch sonst erscheint Ordinypt auffällig unauffällig – es gibt keine Anzeichen für einen beabsichtigten Wiedererkennungswert. Der Schädling setzt stattdessen auf Effizienz.  

Besonders erwähnenswert ist die Erpressernachricht – sie ist in fehlerfreiem Deutsch verfasst. Der Security Experte von GData geht davon aus, dass der Verfasser des Textes ein Muttersprachler ist. Auffällig ist auch, dass in der Erpressernachricht ein Stück Programmcode versteckt ist, der jedes mal eine neue Bitcoin-Adresse generiert, an die eine Lösegeldzahlung gesendet werden soll. Ein völlig neues Verhalten bei einer Ransomware. Laut GData Security könnte das eine neue Möglichkeit sein um die Verfolgung von Zahlungsströmen durch Strafverfolgungsbehörden zu erschweren.

Daten weg – auch nach Lösegeldzahlung

Anhand einer der E-Mails die der Sicherheitsfirma vorliegt, könnten Personalabteilungen ein erklärtes Ziel sein, wie seinerzeit bei Petya. Die Phishing-Mail enthält ein Zip-Archiv das zwei .exe-Dateien, getarnt als PDFs und bezeichnet als Bewerbung und Lebenslauf, extrahiert.

Nach weiteren Analysen stellten die Experten von GData fest, dass Ordinypt mehr ist als nur eine weitere Ransomware. Dateien, die augenscheinlich verschlüsselt wurden, sind nach Abschluss des Prozesses »leer«. Damit hat Ordinypt sich als eine Kombination aus Ransomware und einem »Wiper« (engl. wipe: auslöschen) entpuppt.

Im Fall von Ordinypt ist das Zahlen des Lösegeldes keine Möglichkeit die Daten zurück zu bekommen.

Laut Heise Security sollten Windowssysteme mit aktuellem Virenschutz vor einer Infektion geschützt sein.