Die in der letzten Woche von G-Data entdeckte Pseudo-Ransomware Ordinypt tritt unter falscher Flagge auf: Sie bezeichnet sich als Ransomware (Erpressungstrojaner), ist aber in Wirklichkeit ein Wiper (Löscher), der die angeblich verschlüsselten Daten in Wirklichkeit gründlich löscht.
Der Schädling wird zurzeit offenbar nahezu ausschließlich in Deutschland verteilt, berichtet Bleeping Computer unter Berufung auf Zahlen von VirusTotal. Auch die Lösegeldforderung der Schadsoftware ist nach dem Bericht in „fehlerfreiem“ Deutsch verfasst.
Verbreitung als Email-Bewerbung an die Personalabteilung
Die Verbreitung läuft wie bei anderen Schadprogrammen auch per Email. Ordinypt versteckt sich in vorgeblichen Bewerbungsunterlagen, die in Massen an die Personalabteilungen deutscher Unternehmen verschickt werden.
Als Anhänge dieser Bewerbungs-Mails kommen zwei ausführbare Dateien, die ein PDF-Logo und zwei Dateiendungen haben. Weil ab Werk auf Windows-Rechnern bekannte Dateiendungen ausgeblendet werden, wird aus der ausführbaren Datei „Eva Müller – Bewerbung – November.pdf.exe“ die auf den ersten Blick harmlose PDF-Datei „Eva Müller – Bewerbung – November.pdf“.
Dateien nicht nur gelöscht, sondern sogar überschrieben
Ordinypt macht sich nicht die Mühe, die Dateien seiner Opfer wie bei echter Ransomware üblich zu verschlüsseln. Stattdessen erzeugt die Malware eine zufällige Zeichenfolge aus Ziffern, Groß- und Kleinbuchstaben und überschreibt damit die Originaldatei, die unwiderruflich gelöscht wird. Dadurch sind nach diesem Vorgang alle betroffenen Dateien nur noch zwischen 8 und 24 Kilobyte groß – egal, wie groß sie vorher waren.
Würden die Dateien nur gelöscht, könnte man sie wiederherstellen. Da die Inhalte der Dateien aber überschrieben wurden, sind die Originaldaten dauerhaft verloren.