Ransomware löscht Daten

Ordinypt: Neuer Trojaner hat deutsche Nutzer im Visier

Der neue Erpressungstrojaner Ordinypt zerstört Daten unwiederbringlich. Verbreitet wird er aktuell in deutschsprachigen E-Mails.

Ordinypt Ransomware Deutschland

© G-DATA / Montage: PC Magazin

Wo_sind_meine_Dateien.html: Der Screenshot von G-DATA zeigt die Erpresser-Nachricht der Ordinypt Ransomware.

Nutzer in Deutschland sollten sich aktuell vor einer neuen Ransomware vorsehen. Der neu entdeckte Trojaner Ordinypt verbreitet sich derzeit über E-Mail-Anhänge in Form einer PDF-Datei. Im Vergleich zu gängigen Erpressungstrojanern weist er jedoch einige Besonderheiten auf.

Keine Ransomware sondern ein "Wiper"

Wie die Antivirus-Spezialisten von G-DATA​ berichten, gibt sich Ordinypt nämlich nur als Ransomware aus - ist in Wahrheit jedoch ein sogennanter Wiper. Hat die Schadsoftware einen Rechner befallen, werden die Daten also nicht nur verschlüsselt, um Lösegeld zu erpressen, sondern sie werden komplett gelöscht. Auch wenn ein Opfer das Lösegeld zahlt, ist also eine Wiederherstellung der Original-Daten nicht möglich.

Auffällig ist auch, dass die E-Mail, in der die Ransomware gefunden wurde, sowie die Erpresser-Nachricht in fehlerfreiem Deutsch verfasst wurde. Zumindest die Verfasser der Nachricht dürften daher laut G-DATA Muttersprachler sein. Auf die Erpresser lässt sich davon hingegen nicht schließen.

EXE-Dateien geben sich als PDFs aus

Die E-Mail, in der die Ordinypt Ransomware gefunden wurde, war als Bewerbung getarnt und enthielt im Anhang ein Bewerbungsfoto sowie die Bewerbungsunterlagen als ZIP-Datei. Wurde diese entpackt, kamen zwei EXE-Dateien zum Vorschein, die jedoch durch doppelte Dateiendungen und Icon-Tricks harmlose PDF-Dateien imitieren.

Beide EXE-Programme haben jedoch die gleiche, verheerende Wirkung: Sie löschen vorhandene Dateien und generieren zufallsgenerierten Datenmüll mit zufälligen Endungen. Dazu wird in jedem Ordner die Datei Wo_sind_meine_Dateien.html platziert, welche die Erpresser-Nachricht enthält.

Das fehlerfreie Deutsch der Trojaner-Mail sowie der Erpresser-Nachricht passt zum vermuteten Ziel der Erpresser: Wie bei der Petya-Ransomware​ scheinen es die Kriminellen auf die Personalabteilungen von Firmen abgesehen zu haben.

Neue Tricks mit Bitcoin-Adressen

Eine weitere Besonderheit des Trojaners betrifft die Abwicklung der Lösegeldzahlungen. Wie das Security-Magazin Bleeping Computer​ berichtet, ist die Ransomware so aufgebaut, dass nicht stets die gleiche Bitcoin-Adresse für die Lösegeldzahlungen angegeben wird. Stattdessen wird zufällig aus einer Liste eine von 101 Adressen ausgewählt und angezeigt. Die Vorgehensweise dient vermutlich dem Zweck, die Zahlungsströme zu verschleiern. Eine derartige Vorgehensweise wurde laut G-DATA bisher nicht beobachtet.

Lesetipp: Ransomware: 5 Strategien, wie Sie Ihre Daten schützen​

Unklar ist, welches Ziel die Erpresser mit der Ransomware verfolgen. Da nun bekannt ist, dass trotz Lösegeld keine Aussicht auf Wiederherstellung der vermeintlich verschlüsselten Dateien besteht, dürften kaum Opfer eine Bitcoin-Zahlung tätigen. Wahrscheinlicher erscheint daher, dass es den Angreifern lediglich darum geht, möglichst viel Schaden anzurichten.

Mehr lesen

Zahl zehn
Schutz vor Viren, Datenverlust und Co.

Das Thema PC-Sicherheit wirkt komplex und unübersichtlich. Dabei gibt es ein paar einfache Grundregeln. Wir verraten sie und geben Tipps.

Mehr zum Thema

Hacker Cyberangriff Malware - Sicherheit (Symbolbild)
Hacker-Kollektiv

Droht nach WannaCry die nächste Ransomware-Welle? Die Hacker-Gruppe Shadow Brokers will weitere NSA-Cyberwaffen leaken - und im Monatsabo anbieten.
Hacker Cyberangriff Malware - Sicherheit (Symbolbild)
Weltweiter Ransomware-Angriff

Die Ransomware Petya wütet wieder, vor allem in Russland und der Ukraine, breitet sich aber auch in Europa aus. Dabei gibt es Gemeinsamkeiten mit…
Die Polizei machte weltweit Käufer des Blackshades-Trojaners dingfest.
Ransomware

Wessen Rechner 2016 mit einem der Erpressungs-Trojaner Petya, GoldenEye oder Mischa verschlüsselt wurde, bekommt jetzt das Entschlüsselungs-Tool.
BadRabbit Ransomware
Warnung vor Erpressertrojaner

Die neue Ransomware BadRabbit befällt vermehrt Rechner in Europa. Bei einer Infektion gehen alle Daten verloren.
Bad Rabbit Ransomware
Erpressungstrojaner

Auf der Suche nach den Bad-Rabbit-Urhebern stellen Sicherheitsexperten fest: Die Ransomware-Attacke wurde seit Monaten vorbereitet.