Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ransomware "Ordinypt" hat es auf Benutzer aus Deutschland abgesehen

Mitglied: MrCount

MrCount (Level 2) - Jetzt verbinden

14.11.2017 um 08:16 Uhr, 840 Aufrufe, 6 Kommentare, 1 Danke

https://www.gdata.de/blog/2017/11/30151-ordinypt

Ordinypt hat es auf Benutzer aus Deutschland abgesehen
Die Ransomware "Ordinypt" (auch bekannt unter dem wenig handlichen Namen „HSDFSDCrypt“) befällt derzeit hautpsächlich Benutzer aus Deutschland. Unter der Haube hat sie einige Merkmale, die herausstechen.
Mitglied: Vancouverona
14.11.2017, aktualisiert um 13:49 Uhr
Nur mal so als naive Nachfrage:

Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. Letztere muss ich auspacken und finde darin eine ausführbare Datei, die ich noch anklicken muß?

Oder ist das eine PDF Datei, die über vbScript ein Programm aus dem Internet herunterlädt?

Den ersteren Fall sollte jeder halbwegs aktuelle Mailscanner finden können (wenn man ihn richtig einstellt), den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.

Mal absehen davon, dass man seine Leute schult, dass sie nicht auf jede EXE Datei klicken sollen, die Sie überaschend per Mail bekommen.

Oder übersehe ich da etwas?
Bitte warten ..
Mitglied: MrCount
14.11.2017 um 12:57 Uhr
Zitat von Vancouverona:
Oder ist das eine PDF Datei...


https://www.gdata.de/blog/2017/11/30151-ordinypt
Genau wie viele andere Schadprogramme wird auch Ordinypt als PDF-Datei getarnt per E-Mail-Anhang verteilt.
Bitte warten ..
Mitglied: Vancouverona
14.11.2017 um 13:49 Uhr
Die Frage war schon berechtigt:
Ist das eine PDF Datei?
Oder ist das eine ausführbare Datei, die aussieht wie eine PDF Datei, weil man die EXE Erweiterung im Explorer nicht sieht (weil blöderweise ausgeblendet)?

Irgendwie fehlen mir da Infos.
Muss mal googeln...
Bitte warten ..
Mitglied: MrCount
14.11.2017 um 13:52 Uhr
Mehr Infos habe ich aktuell leider auch nicht zur Hand.
Hätte noch einen Artikel vom Spiegel: http://www.spiegel.de/netzwelt/web/ransomware-ordinypt-erpresser-verste ...
Die berufen sich aber auf die Meldung von G-Data...
Bitte warten ..
Mitglied: Vancouverona
14.11.2017, aktualisiert um 13:54 Uhr
Gerade gefunden: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-inten ...

Da scheint wohl mal jemand das Original analysiert zu haben.

[Zitat]
The ZIP archive contains two EXE files that use the old double-extension and custom icon tricks to fool users into thinking they're different files. In this case, PDF files.

On Windows PCs that hide the file extensions by default, the EXE extension will not show up, and users will only see the PDF part, enough to fool users into believing the files are legitimate PDFs, and not an executables.
[Zitat Ende]

Alles klar.

Dass darauf immer noch Leute hereinfallen ...
Bitte warten ..
Mitglied: BassFishFox
14.11.2017, aktualisiert um 20:32 Uhr
Halloele,

Zum weiter lesen.

https://www.heise.de/security/meldung/Ordinypt-Ein-Ransomware-Ausbruch-o ...

Da kommt also eine Mail mit einem JPeg Foto und einer ZIP-Datei. ... und finde darin eine ausführbare Datei

Eine EXE in einer ZIP hat niemals in einer Mailbox zu landen. Das Dingens gehoert in die Quarantaene.
Damit gehoert das Anklicken einer EXE der Vergangenheit an.

den zweiten Fall kann man schon dadurch abfangen, dass man nicht den Adobe Reader zum anzeigen von PDFs verwendet.

Vielleicht solange, bis jemand auch das umgeht. Eher gehoert das Ausfuehren von Scripten durch Reader unterbunden.

BFF
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Ransomware Mail für IT-Firmen
Erfahrungsbericht von runasserviceErkennung und -Abwehr25 Kommentare

Hallo, mehr als frech finde ich es, das jetzt dreist versucht wird, Ransomware Mails auch an IT-Firmen zu versenden. ...

Sicherheit

Ransomware - alles, was ich für wissenswert halte

Tipp von DerWoWussteSicherheit38 Kommentare

Sie sind in aller Munde und wie es aussieht, wird das vorerst auch so bleiben: die lieben Erpressungssoftwares. Ich ...

Linux

Ransomware greift jetzt Linux Webserver an

Tipp von michi1983Linux2 Kommentare

Jetzt werden auch Linux Webserver aufgesucht. Angeblich kann aber der AES-Key wiederhergestellt werden, da nur die Systemzeit zum Zeitpunkt ...

Viren und Trojaner

Ransomware Locky Encryptor mit Lösegeldzahlung

Erfahrungsbericht von coltseaversViren und Trojaner3 Kommentare

Hallo zusammen, da im Internet viel von Ransomware / Verschlüsselungsschadsoftware die Rede ist, aber komischerweise wenig Erfahrungsberichte dazu existieren, ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 StundeWindows 10

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 4 StundenAdministrator.de Feedback8 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 21 StundenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...