Ordinypt ein effizienter Schädling
Der G DATA Analyst Karsten Hahn bescheinigt Ordinypt, dass dieser in einer für Ransomware unüblichen Programmiersprache verfasst ist (Delphi). Die Daten werden wie bei jeder Ransomware verschlüsselt, die Dateinamen scheinbar zufällig gewählt. In den Dateien selbst werden die verschlüsselten Daten noch einmal kodiert (in base64); warum das so ist und welchen Zweck die Macher damit verfolgen, ist zum gegenwärtigen Zeitpunkt noch unklar.
Auch sonst erscheint Ordinypt auffällig unauffällig – es gibt keine Anzeichen für einen beabsichtigten Wiedererkennungswert. Der Schädling setzt stattdessen auf Effizienz.
Fehlerfreie Erpressernachricht
Besonders erwähnenswert ist die Erpressernachricht – sie ist in 100% fehlerfreiem Deutsch verfasst. Man kann davon ausgehen, dass der Verfasser des Textes ein Muttersprachler ist. Auffällig ist auch, dass in der Erpressernachricht ein Stück Programmcode versteckt ist, der jedes Mal eine neue Bitcoin-Adresse generiert, an die eine Lösegeldzahlung gesendet werden soll. Bisher konnten wir dieses Verhalten noch bei keiner anderen Ransomware entdecken.
Zweck dieser Vorgehensweise ist möglicherweise, die Verfolgung von Zahlungsströmen durch Strafverfolgungsbehörden zu erschweren. Anhand einer der E-Mails, in denen die Schadsoftware versteckt war, könnten Personalabteilungen ein erklärtes Ziel sein, wie seinerzeit bei Petya.
G DATA - Kunden sind geschützt
Die Schadsoftware wird unter dem Namen Win32.Trojan-Ransom.Ordinypt.A erkannt.
Der Anhang, in dem HSDFSDCrypt verschickt wird, hat die Signatur Archive.Malware.FakeExt.N@susp.
Der Schein kann trügen
Nach weiteren Analysen steht nun fest, dass Ordinypt mehr ist als nur eine weitere Ransomware. Dateien, die augenscheinlich verschlüsselt wurden, sind nach Abschluss des Prozesses quasi "leer". Damit hat Ordinypt sich als eine Kombination aus Ransomware und einem "Wiper" (engl. wipe: auslöschen) entpuppt. Ein Testordner, der mit Bildern im JPG-Format gefüllt war, hat nach der "Verschlüsselung" plötzlich nur noch einen Bruchteil der ursprünglichen Größe.
Wer also das Lösegeld gezahlt hat, in der Hoffnung, seine Daten wiederzubekommen, wird feststellen, dass die Daten tatsächlich unwiederbringlich verloren sind.
Weiterführende Links:
gdata.de: Ordinypt hat es auf Benutzer aus Deutschland abgesehen.
