mrcount
Goto Top

Ransomware "Ordinypt" hat es auf Benutzer aus Deutschland abgesehen

https://www.gdata.de/blog/2017/11/30151-ordinypt

Ordinypt hat es auf Benutzer aus Deutschland abgesehen
Die Ransomware "Ordinypt" (auch bekannt unter dem wenig handlichen Namen „HSDFSDCrypt“) befällt derzeit hautpsächlich Benutzer aus Deutschland. Unter der Haube hat sie einige Merkmale, die herausstechen.

Content-Key: 354762

Url: https://administrator.de/contentid/354762

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: Vancouverona
Vancouverona 14.11.2017 aktualisiert um 13:49:47 Uhr
Goto Top
Nur mal so als naive Nachfrage:

Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. Letztere muss ich auspacken und finde darin eine ausführbare Datei, die ich noch anklicken muß?

Oder ist das eine PDF Datei, die über vbScript ein Programm aus dem Internet herunterlädt?

Den ersteren Fall sollte jeder halbwegs aktuelle Mailscanner finden können (wenn man ihn richtig einstellt), den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.

Mal absehen davon, dass man seine Leute schult, dass sie nicht auf jede EXE Datei klicken sollen, die Sie überaschend per Mail bekommen.

Oder übersehe ich da etwas?
Mitglied: MrCount
MrCount 14.11.2017 um 12:57:47 Uhr
Goto Top
Zitat von @Vancouverona:
Oder ist das eine PDF Datei...


https://www.gdata.de/blog/2017/11/30151-ordinypt
Genau wie viele andere Schadprogramme wird auch Ordinypt als PDF-Datei getarnt per E-Mail-Anhang verteilt.
Mitglied: Vancouverona
Vancouverona 14.11.2017 um 13:49:04 Uhr
Goto Top
Die Frage war schon berechtigt:
Ist das eine PDF Datei?
Oder ist das eine ausführbare Datei, die aussieht wie eine PDF Datei, weil man die EXE Erweiterung im Explorer nicht sieht (weil blöderweise ausgeblendet)?

Irgendwie fehlen mir da Infos.
Muss mal googeln...
Mitglied: MrCount
MrCount 14.11.2017 um 13:52:29 Uhr
Goto Top
Mehr Infos habe ich aktuell leider auch nicht zur Hand.
Hätte noch einen Artikel vom Spiegel: http://www.spiegel.de/netzwelt/web/ransomware-ordinypt-erpresser-verste ...
Die berufen sich aber auf die Meldung von G-Data...
Mitglied: Vancouverona
Vancouverona 14.11.2017 aktualisiert um 13:54:47 Uhr
Goto Top
Gerade gefunden: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-inten ...

Da scheint wohl mal jemand das Original analysiert zu haben.

[Zitat]
The ZIP archive contains two EXE files that use the old double-extension and custom icon tricks to fool users into thinking they're different files. In this case, PDF files.

On Windows PCs that hide the file extensions by default, the EXE extension will not show up, and users will only see the PDF part, enough to fool users into believing the files are legitimate PDFs, and not an executables.
[Zitat Ende]

Alles klar.

Dass darauf immer noch Leute hereinfallen ...
Mitglied: BassFishFox
BassFishFox 14.11.2017 aktualisiert um 20:32:49 Uhr
Goto Top
Halloele,

Zum weiter lesen.

https://www.heise.de/security/meldung/Ordinypt-Ein-Ransomware-Ausbruch-o ...

Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. ... und finde darin eine ausführbare Datei

Eine EXE in einer ZIP hat niemals in einer Mailbox zu landen. Das Dingens gehoert in die Quarantaene.
Damit gehoert das Anklicken einer EXE der Vergangenheit an. face-wink

den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.

Vielleicht solange, bis jemand auch das umgeht. face-wink Eher gehoert das Ausfuehren von Scripten durch Reader unterbunden.

BFF