Ransomware "Ordinypt" hat es auf Benutzer aus Deutschland abgesehen
https://www.gdata.de/blog/2017/11/30151-ordinypt
Ordinypt hat es auf Benutzer aus Deutschland abgesehen
Die Ransomware "Ordinypt" (auch bekannt unter dem wenig handlichen Namen „HSDFSDCrypt“) befällt derzeit hautpsächlich Benutzer aus Deutschland. Unter der Haube hat sie einige Merkmale, die herausstechen.
Die Ransomware "Ordinypt" (auch bekannt unter dem wenig handlichen Namen „HSDFSDCrypt“) befällt derzeit hautpsächlich Benutzer aus Deutschland. Unter der Haube hat sie einige Merkmale, die herausstechen.
Please also mark the comments that contributed to the solution of the article
Content-ID: 354762
Url: https://administrator.de/contentid/354762
Printed on: October 10, 2024 at 05:10 o'clock
6 Comments
Latest comment
Nur mal so als naive Nachfrage:
Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. Letztere muss ich auspacken und finde darin eine ausführbare Datei, die ich noch anklicken muß?
Oder ist das eine PDF Datei, die über vbScript ein Programm aus dem Internet herunterlädt?
Den ersteren Fall sollte jeder halbwegs aktuelle Mailscanner finden können (wenn man ihn richtig einstellt), den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.
Mal absehen davon, dass man seine Leute schult, dass sie nicht auf jede EXE Datei klicken sollen, die Sie überaschend per Mail bekommen.
Oder übersehe ich da etwas?
Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. Letztere muss ich auspacken und finde darin eine ausführbare Datei, die ich noch anklicken muß?
Oder ist das eine PDF Datei, die über vbScript ein Programm aus dem Internet herunterlädt?
Den ersteren Fall sollte jeder halbwegs aktuelle Mailscanner finden können (wenn man ihn richtig einstellt), den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.
Mal absehen davon, dass man seine Leute schult, dass sie nicht auf jede EXE Datei klicken sollen, die Sie überaschend per Mail bekommen.
Oder übersehe ich da etwas?
Gerade gefunden: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-inten ...
Da scheint wohl mal jemand das Original analysiert zu haben.
[Zitat]
The ZIP archive contains two EXE files that use the old double-extension and custom icon tricks to fool users into thinking they're different files. In this case, PDF files.
On Windows PCs that hide the file extensions by default, the EXE extension will not show up, and users will only see the PDF part, enough to fool users into believing the files are legitimate PDFs, and not an executables.
[Zitat Ende]
Alles klar.
Dass darauf immer noch Leute hereinfallen ...
Da scheint wohl mal jemand das Original analysiert zu haben.
[Zitat]
The ZIP archive contains two EXE files that use the old double-extension and custom icon tricks to fool users into thinking they're different files. In this case, PDF files.
On Windows PCs that hide the file extensions by default, the EXE extension will not show up, and users will only see the PDF part, enough to fool users into believing the files are legitimate PDFs, and not an executables.
[Zitat Ende]
Alles klar.
Dass darauf immer noch Leute hereinfallen ...
Halloele,
Zum weiter lesen.
https://www.heise.de/security/meldung/Ordinypt-Ein-Ransomware-Ausbruch-o ...
Eine EXE in einer ZIP hat niemals in einer Mailbox zu landen. Das Dingens gehoert in die Quarantaene.
Damit gehoert das Anklicken einer EXE der Vergangenheit an.
Vielleicht solange, bis jemand auch das umgeht. Eher gehoert das Ausfuehren von Scripten durch Reader unterbunden.
BFF
Zum weiter lesen.
https://www.heise.de/security/meldung/Ordinypt-Ein-Ransomware-Ausbruch-o ...
Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. ... und finde darin eine ausführbare Datei
Eine EXE in einer ZIP hat niemals in einer Mailbox zu landen. Das Dingens gehoert in die Quarantaene.
Damit gehoert das Anklicken einer EXE der Vergangenheit an.
den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.
Vielleicht solange, bis jemand auch das umgeht. Eher gehoert das Ausfuehren von Scripten durch Reader unterbunden.
BFF