Ordinypt Ransomware mål tyska användare

Computer Security News

Säkerhetsforskare hittade en ny malware som kallas Ordinypt. Hotet är en torkare förklädd ransomware och det riktar endast tyska användare.

Den dålig nyheten omkring de Ordinypt ransomware är att istället för att kryptera användarnas filer, malware förstör dem.

För några dagar sedan, märkte en säkerhet forskare Karsten Hahn ett prov som har inriktning tyska användare endast.

Ordinypt ransomware distribueras via e-post skriven på tyska, och leverera noter på ett felfritt språk, låtsas vara ett CV som skickas som svar till jobb annonser.

Först, malware hette HSDFSDCrypt, men efter att G Data ändrade det till Ordinypt ransomware.

De skadliga e-postmeddelandena kommer med två filer – en JPG-fil som innehåller CV och en meritförteckning.

Filerna i de observerade proverna Använd två bilagor som heter Viktoria Henschel – Bewerbungsfoto.jpg och Viktoria Henschel – Bewerbungsunterlagen.zip.

”ZIP-arkivet innehåller två EXE-filer som använder de gamla dubbel-förlängning och anpassade ikonen trick för att lura användare att tro att de är olika filer. I detta fall PDF-filer ”. säkerhetsexperter rapporterade.

”På Windows-datorer som dölja filändelser som standard, visas inte filnamnstillägget EXE och användare vill bara se PDF-delen, som är legitima PDF-filer, och inte en körbara”.

När offret körs den kommer att körbara lansera de Ordinypt ransomware, som i stället för att kryptera filer, vindrutetorkare dem genom att ersätta filer med slumpmässiga data.

Ordinypt genererar nya ”pseudo-krypterad-” filnamnet, som består av 14 slumpmässiga alfanumeriska tecken. Ibland är de nya filerna mer än hälften av de ursprungliga.

Den Ordinypt ransomware droppar ett hotbrev i varje mapp där det har torkas filinnehållet. Namnet på anteckningen är where_sind_my_files.html. (som översätter till where_are_my_files.html).

Ordinypt är en torkare förklädd ransomware vilket bekräftas av dess märkliga hotbrev som inte listar en infektion ID, inte heller frågar det efter en fil från där den malware skaparna kan extrahera ett ID.

Hotbrev Ordinypt ransomware notera använder en bitcoin-adress från en hårdkodad plånbok adress.

”Inriktningen av HR avdelningar via jobb ansökan e-postmeddelanden innebär också att detta är en avsiktlig kampanj att skada verksamheten i vissa Tyskland-baserade företag”. Forskarna sade.

”Dessutom finns det inget sätt för att kontakta faux ransomware’s författare och verifiera betalningen. Alla bevis pekar på det faktum att någon kodad Ordinypt med avsikt att skada datorer ”.


Leave a Reply

Your email address will not be published. Required fields are marked *