Wiper-Kampagnen seit August aktiv
Es ist nicht die erste Spam-Kampagne, die Deutschland dieses Jahr trifft. Anfang August hatten wir es mit German Wiper zu tun. Auch Ordinypt Wiper funktioniert nach demselben Prinzip wie jetzt damals die German Wiper Malware. Diese Schadsoftware verschlüsselt keine Dateien, sondern schreibt ihren Inhalt mit Nullen neu und zerstört so dauerhaft die Daten der Nutzer. Lösegeld für das (angebliche) Entschlüsseln der Daten verlangt man aber trotzdem, informierte tarnkappe.info.
Wie heise.de dazu berichtete soll Ordinypt bereits seit gut zwei Wochen aktiv sein. Allerdings scheint die Verteilung von Ordinypt selbst nur sehr spärlich passiert zu sein, wie Sicherheitsforscher dazu feststellten.
Phishing-Mails ausgefiltert
Wie weiter dazu von Betroffenen und Sicherheitsforschern verlautete, wurde bei einigen Phishing-Mails der schädliche Anhang schon auf dem Mailserver neutralisiert, da sie das Mailsystem so konfiguriert hatten, dass es ausführbare Mail-Anhänge unschädlich macht – eine Standard-Sicherheitsvorkehrung. Auch die schnelle Erkennung durch zahlreiche AV-Programme haben Ordinypt offensichtlich stoppen können.
Wen es tatsächlich erwischt hat, der sollte auf keinen Fall Lösegeld zahlen. In der Regel löscht Ordinypt Wiper auch die Windows Schattenkopien. Es sind aber auch Fälle bekannt, in denen ein User nach einer Infektion mit der Malware sein System mit Hilfe dieser Windows Schattenkopien wiederherstellen konnte. Ist man von dieser Malware betroffen, sollte man es auf jeden Fall versuchen, rät tarnkappe.info.
Weiterführende Links:
tarnkappe.info: Ordinypt Malware: Neue Mailspam-Kampagne trifft Deutschland
heise.de: Ordinypt: Ein Ransomware-Ausbruch ohne Folgen