Vorsicht: Ransomware tarnt sich als Bewerbungs-Schreiben

Die von Ordinypt  verschlüsselten Dateien erhalten neue kryptische Namen

Die von Ordinypt verschlüsselten Dateien erhalten neue kryptische Namen



CAFM-NEWS – Als Bewerbung auf eine angebotene Stelle tarnt sich eine Ransomware, die derzeit per E-Mail an Unternehmen verschickt wird. Wieder verschickt wird, muss man wohl korrekter Weise sagen, weil die Ordinypt genannte Schad-Software bereits früher schon einmal unterwegs war. Wer ihren Anhang öffnet, startet damit eine Verschlüsselungs-Routine.

Vor dem Schädling warnt der G Data Security-Blog des IT-Sicherheits-Spezialisten aus Bochum. Die beiden Mitarbeiter Tim Berghoff und Karsten Hahn erläutern darin unter anderem, dass die jeweiligen E-Mails explizit an Personalabteilungen adressiert sind und auf ausgeschriebene Stellen Bezug zu nehmen scheinen.

Die Schadsoftware wird sehr professionell verteilt. Sie wird gezielt vor allem an deutsche Unternehmen verschickt und ist in fehlerfreiem Deutsch verfasst. Das gilt auch für die Erpresser-Nachricht, die auf dem Schirm erscheint und für Decrypt-Key zur Entschlüsselung des befallenen Rechners 0,12 Bitcoin einfordert – umgerechnet etwa 600 Euro.

Offiziell trägt die Ransomware den Namen Win32.Trojan-Ransom.HSDFSDCrypt.A und wird auch abgekürzt einfach HSDFSDCrypt genannt. Sie war bereits Ende 2016 und bis Anfang 2017 verschickt worden. Damals wurde sie als Goldeneye bezeichnet und in einer Excel-Datei versteckt den E-Mails angehängt. Die neue Variante gibt sich dagegen als PDF-Datei aus, so die IT-Experten.

Eine infizierte Mail, die G-Data als Screenshot online gestellt hat, zeigt als Anhang allerdings ein ZIP-File und eine JPG-Datei. Gut möglich also, dass das PDF erst noch gezipt wurde, was unter Umständen noch besser tarnt und Nutzer noch argloser klicken lässt.



Perfektes Deutsch und ein ZIP im Anhang: Ordinypt ist gut gemacht und gezielt auf Personaler abgestimmt

Perfektes Deutsch und ein ZIP im Anhang: Ordinypt ist gut gemacht und gezielt auf Personaler abgestimmt (klicken für große Ansicht)



Besonders an dem Schädling ist unter anderem, dass er in Delphi geschrieben ist. Er generiert zudem ständig neue Bitcoin-Adressen, um die Nachverfolgung der Geldströme zu erschweren. Auch die Verschlüsselung ist anders: Ordinypt verteilt zufällige Dateinamen und verschlüsselt die Dateien erst, nachdem ihr Inhalt in Base64 kodiert ist.



Abbildungen: G Data




icon artikel mailen

Das könnte dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert