mrcount
Goto Top

Ransomware "Ordinypt" hat es auf Benutzer aus Deutschland abgesehen

https://www.gdata.de/blog/2017/11/30151-ordinypt

Ordinypt hat es auf Benutzer aus Deutschland abgesehen
Die Ransomware "Ordinypt" (auch bekannt unter dem wenig handlichen Namen „HSDFSDCrypt“) befällt derzeit hautpsächlich Benutzer aus Deutschland. Unter der Haube hat sie einige Merkmale, die herausstechen.

Content-ID: 354762

Url: https://administrator.de/contentid/354762

Printed on: October 10, 2024 at 05:10 o'clock

Vancouverona
Vancouverona Nov 14, 2017 updated at 12:49:47 (UTC)
Goto Top
Nur mal so als naive Nachfrage:

Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. Letztere muss ich auspacken und finde darin eine ausführbare Datei, die ich noch anklicken muß?

Oder ist das eine PDF Datei, die über vbScript ein Programm aus dem Internet herunterlädt?

Den ersteren Fall sollte jeder halbwegs aktuelle Mailscanner finden können (wenn man ihn richtig einstellt), den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.

Mal absehen davon, dass man seine Leute schult, dass sie nicht auf jede EXE Datei klicken sollen, die Sie überaschend per Mail bekommen.

Oder übersehe ich da etwas?
MrCount
MrCount Nov 14, 2017 at 11:57:47 (UTC)
Goto Top
Zitat von @Vancouverona:
Oder ist das eine PDF Datei...


https://www.gdata.de/blog/2017/11/30151-ordinypt
Genau wie viele andere Schadprogramme wird auch Ordinypt als PDF-Datei getarnt per E-Mail-Anhang verteilt.
Vancouverona
Vancouverona Nov 14, 2017 at 12:49:04 (UTC)
Goto Top
Die Frage war schon berechtigt:
Ist das eine PDF Datei?
Oder ist das eine ausführbare Datei, die aussieht wie eine PDF Datei, weil man die EXE Erweiterung im Explorer nicht sieht (weil blöderweise ausgeblendet)?

Irgendwie fehlen mir da Infos.
Muss mal googeln...
MrCount
MrCount Nov 14, 2017 at 12:52:29 (UTC)
Goto Top
Mehr Infos habe ich aktuell leider auch nicht zur Hand.
Hätte noch einen Artikel vom Spiegel: http://www.spiegel.de/netzwelt/web/ransomware-ordinypt-erpresser-verste ...
Die berufen sich aber auf die Meldung von G-Data...
Vancouverona
Vancouverona Nov 14, 2017 updated at 12:54:47 (UTC)
Goto Top
Gerade gefunden: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-inten ...

Da scheint wohl mal jemand das Original analysiert zu haben.

[Zitat]
The ZIP archive contains two EXE files that use the old double-extension and custom icon tricks to fool users into thinking they're different files. In this case, PDF files.

On Windows PCs that hide the file extensions by default, the EXE extension will not show up, and users will only see the PDF part, enough to fool users into believing the files are legitimate PDFs, and not an executables.
[Zitat Ende]

Alles klar.

Dass darauf immer noch Leute hereinfallen ...
BassFishFox
BassFishFox Nov 14, 2017 updated at 19:32:49 (UTC)
Goto Top
Halloele,

Zum weiter lesen.

https://www.heise.de/security/meldung/Ordinypt-Ein-Ransomware-Ausbruch-o ...

Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. ... und finde darin eine ausführbare Datei

Eine EXE in einer ZIP hat niemals in einer Mailbox zu landen. Das Dingens gehoert in die Quarantaene.
Damit gehoert das Anklicken einer EXE der Vergangenheit an. face-wink

den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.

Vielleicht solange, bis jemand auch das umgeht. face-wink Eher gehoert das Ausfuehren von Scripten durch Reader unterbunden.

BFF