Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ransomware "Ordinypt" hat es auf Benutzer aus Deutschland abgesehen

Mitglied: MrCount

MrCount (Level 2) - Jetzt verbinden

14.11.2017 um 08:16 Uhr, 1357 Aufrufe, 6 Kommentare, 1 Danke

https://www.gdata.de/blog/2017/11/30151-ordinypt

Ordinypt hat es auf Benutzer aus Deutschland abgesehen
Die Ransomware "Ordinypt" (auch bekannt unter dem wenig handlichen Namen „HSDFSDCrypt“) befällt derzeit hautpsächlich Benutzer aus Deutschland. Unter der Haube hat sie einige Merkmale, die herausstechen.
Mitglied: Vancouverona
14.11.2017, aktualisiert um 13:49 Uhr
Nur mal so als naive Nachfrage:

Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. Letztere muss ich auspacken und finde darin eine ausführbare Datei, die ich noch anklicken muß?

Oder ist das eine PDF Datei, die über vbScript ein Programm aus dem Internet herunterlädt?

Den ersteren Fall sollte jeder halbwegs aktuelle Mailscanner finden können (wenn man ihn richtig einstellt), den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.

Mal absehen davon, dass man seine Leute schult, dass sie nicht auf jede EXE Datei klicken sollen, die Sie überaschend per Mail bekommen.

Oder übersehe ich da etwas?
Bitte warten ..
Mitglied: MrCount
14.11.2017 um 12:57 Uhr
Zitat von Vancouverona:
Oder ist das eine PDF Datei...


https://www.gdata.de/blog/2017/11/30151-ordinypt
Genau wie viele andere Schadprogramme wird auch Ordinypt als PDF-Datei getarnt per E-Mail-Anhang verteilt.
Bitte warten ..
Mitglied: Vancouverona
14.11.2017 um 13:49 Uhr
Die Frage war schon berechtigt:
Ist das eine PDF Datei?
Oder ist das eine ausführbare Datei, die aussieht wie eine PDF Datei, weil man die EXE Erweiterung im Explorer nicht sieht (weil blöderweise ausgeblendet)?

Irgendwie fehlen mir da Infos.
Muss mal googeln...
Bitte warten ..
Mitglied: MrCount
14.11.2017 um 13:52 Uhr
Mehr Infos habe ich aktuell leider auch nicht zur Hand.
Hätte noch einen Artikel vom Spiegel: http://www.spiegel.de/netzwelt/web/ransomware-ordinypt-erpresser-verste ...
Die berufen sich aber auf die Meldung von G-Data...
Bitte warten ..
Mitglied: Vancouverona
14.11.2017, aktualisiert um 13:54 Uhr
Gerade gefunden: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-inten ...

Da scheint wohl mal jemand das Original analysiert zu haben.

[Zitat]
The ZIP archive contains two EXE files that use the old double-extension and custom icon tricks to fool users into thinking they're different files. In this case, PDF files.

On Windows PCs that hide the file extensions by default, the EXE extension will not show up, and users will only see the PDF part, enough to fool users into believing the files are legitimate PDFs, and not an executables.
[Zitat Ende]

Alles klar.

Dass darauf immer noch Leute hereinfallen ...
Bitte warten ..
Mitglied: BassFishFox
14.11.2017, aktualisiert um 20:32 Uhr
Halloele,

Zum weiter lesen.

https://www.heise.de/security/meldung/Ordinypt-Ein-Ransomware-Ausbruch-o ...

Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. ... und finde darin eine ausführbare Datei

Eine EXE in einer ZIP hat niemals in einer Mailbox zu landen. Das Dingens gehoert in die Quarantaene.
Damit gehoert das Anklicken einer EXE der Vergangenheit an.

den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.

Vielleicht solange, bis jemand auch das umgeht. Eher gehoert das Ausfuehren von Scripten durch Reader unterbunden.

BFF
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Riesiges Botnetz in Deutschland
Tipp von FFSephirothNetzwerke2 Kommentare

Überprüft mal eure Router und NAS

Cloud-Dienste

Office 365 mit Treuhanddienst in Deutschland ist tot

Information von St-AndreasCloud-Dienste14 Kommentare

Der Telekomtreuhanddienst für Office 365 ist am Ende.

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 4 TagenHumor (lol)6 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 5 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 8 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 9 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Samba
Windows 10 Client in Samba-Domäne hinzufügen scheitert
Frage von diwaffmSamba32 Kommentare

Hi Leute, ich habe einen Samba Server in der Version 4.9.3 auf einer OpenSuse Maschine laufen. Damit sind momentan ...

Windows Systemdateien
Verknüpfungen nach Pfadwechsel
Frage von Hendrik2586Windows Systemdateien17 Kommentare

Guten Morgen meine lieben Kollegen und Kolleginnen, ich hab da mal eine Frage die Ihr sicher schon kennt. Es ...

Netzwerkmanagement
Sehr langsame Netzverbindung in einem bestimmten Subnet
gelöst Frage von gabeBUNetzwerkmanagement16 Kommentare

Hallo Zusammen Ich habe das folgende Problem: Unser Netzwerk, dass aus verschiedenen Subnetzwerken aufgebaut ist, ist nicht in jedem ...

Exchange Server
Exchange Server 2016 - Autodiscover mehrere Domänen
gelöst Frage von K-ist-KExchange Server15 Kommentare

Hallo, folgende Dinge sind wichtig notwendig, damit Autodiscover funktioniert: - Namensauflösung (zB autodiscover.google.at) - gültiges Zertifikat - .XML Datei ...