Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ransomware "Ordinypt" hat es auf Benutzer aus Deutschland abgesehen

Mitglied: MrCount

MrCount (Level 2) - Jetzt verbinden

14.11.2017 um 08:16 Uhr, 1151 Aufrufe, 6 Kommentare, 1 Danke

https://www.gdata.de/blog/2017/11/30151-ordinypt

Ordinypt hat es auf Benutzer aus Deutschland abgesehen
Die Ransomware "Ordinypt" (auch bekannt unter dem wenig handlichen Namen „HSDFSDCrypt“) befällt derzeit hautpsächlich Benutzer aus Deutschland. Unter der Haube hat sie einige Merkmale, die herausstechen.
Mitglied: Vancouverona
14.11.2017, aktualisiert um 13:49 Uhr
Nur mal so als naive Nachfrage:

Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. Letztere muss ich auspacken und finde darin eine ausführbare Datei, die ich noch anklicken muß?

Oder ist das eine PDF Datei, die über vbScript ein Programm aus dem Internet herunterlädt?

Den ersteren Fall sollte jeder halbwegs aktuelle Mailscanner finden können (wenn man ihn richtig einstellt), den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.

Mal absehen davon, dass man seine Leute schult, dass sie nicht auf jede EXE Datei klicken sollen, die Sie überaschend per Mail bekommen.

Oder übersehe ich da etwas?
Bitte warten ..
Mitglied: MrCount
14.11.2017 um 12:57 Uhr
Zitat von Vancouverona:
Oder ist das eine PDF Datei...


https://www.gdata.de/blog/2017/11/30151-ordinypt
Genau wie viele andere Schadprogramme wird auch Ordinypt als PDF-Datei getarnt per E-Mail-Anhang verteilt.
Bitte warten ..
Mitglied: Vancouverona
14.11.2017 um 13:49 Uhr
Die Frage war schon berechtigt:
Ist das eine PDF Datei?
Oder ist das eine ausführbare Datei, die aussieht wie eine PDF Datei, weil man die EXE Erweiterung im Explorer nicht sieht (weil blöderweise ausgeblendet)?

Irgendwie fehlen mir da Infos.
Muss mal googeln...
Bitte warten ..
Mitglied: MrCount
14.11.2017 um 13:52 Uhr
Mehr Infos habe ich aktuell leider auch nicht zur Hand.
Hätte noch einen Artikel vom Spiegel: http://www.spiegel.de/netzwelt/web/ransomware-ordinypt-erpresser-verste ...
Die berufen sich aber auf die Meldung von G-Data...
Bitte warten ..
Mitglied: Vancouverona
14.11.2017, aktualisiert um 13:54 Uhr
Gerade gefunden: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-inten ...

Da scheint wohl mal jemand das Original analysiert zu haben.

[Zitat]
The ZIP archive contains two EXE files that use the old double-extension and custom icon tricks to fool users into thinking they're different files. In this case, PDF files.

On Windows PCs that hide the file extensions by default, the EXE extension will not show up, and users will only see the PDF part, enough to fool users into believing the files are legitimate PDFs, and not an executables.
[Zitat Ende]

Alles klar.

Dass darauf immer noch Leute hereinfallen ...
Bitte warten ..
Mitglied: BassFishFox
14.11.2017, aktualisiert um 20:32 Uhr
Halloele,

Zum weiter lesen.

https://www.heise.de/security/meldung/Ordinypt-Ein-Ransomware-Ausbruch-o ...

Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. ... und finde darin eine ausführbare Datei

Eine EXE in einer ZIP hat niemals in einer Mailbox zu landen. Das Dingens gehoert in die Quarantaene.
Damit gehoert das Anklicken einer EXE der Vergangenheit an.

den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.

Vielleicht solange, bis jemand auch das umgeht. Eher gehoert das Ausfuehren von Scripten durch Reader unterbunden.

BFF
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Ransomware Mail für IT-Firmen
Erfahrungsbericht von runasserviceErkennung und -Abwehr25 Kommentare

Hallo, mehr als frech finde ich es, das jetzt dreist versucht wird, Ransomware Mails auch an IT-Firmen zu versenden. ...

Sicherheit

Ransomware - alles, was ich für wissenswert halte

Tipp von DerWoWussteSicherheit38 Kommentare

Sie sind in aller Munde und wie es aussieht, wird das vorerst auch so bleiben: die lieben Erpressungssoftwares. Ich ...

Linux

Ransomware greift jetzt Linux Webserver an

Tipp von michi1983Linux2 Kommentare

Jetzt werden auch Linux Webserver aufgesucht. Angeblich kann aber der AES-Key wiederhergestellt werden, da nur die Systemzeit zum Zeitpunkt ...

Viren und Trojaner

Ransomware Locky Encryptor mit Lösegeldzahlung

Erfahrungsbericht von coltseaversViren und Trojaner3 Kommentare

Hallo zusammen, da im Internet viel von Ransomware / Verschlüsselungsschadsoftware die Rede ist, aber komischerweise wenig Erfahrungsberichte dazu existieren, ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 14 StundenVerschlüsselung & Zertifikate2 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 2 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 2 TagenHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 2 TagenSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Heiß diskutierte Inhalte
Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke14 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...

Tipps & Tricks
Nagstamon und PRTG Monitoring
Frage von Der.ITlerTipps & Tricks13 Kommentare

Hallo Ihr, heute am Sonntag bin ich mal früh aufgestanden um mich mit dem Problem von Gestern zu beschäftigen. ...

Hardware
Sophos SG135 - Routing
Frage von Xaero1982Hardware13 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz12 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...