Arbeitswelt & Trends

Ordinypt Wiper

Schadsoftware kommt per Fake-Bewerbung

von 17.09.2019
Zu sehen ist eine Grafik, die in vier Rechtecke mit jeweils einem Computerbildschirm eingeteilt ist. Alle Bildschirme zeigen einen Malware-Befall an – zum Beispiel durch Ordinypt Wiper. Bild: www.pixabay.com / 200 Degrees
Ordinypt Wiper heißt eine neue Malware, die in einer Spam-Kampagne aktuell Unternehmen angreift. Bild: www.pixabay.com / 200 Degrees

Nach GermanWiper sorgt jetzt die Schadsoftware Ordinypt Wiper für Aufruhr. Genau wie beim Vorgänger verbreitet sich die Malware als Bewerbungsanhang und verschlüsselt Dateien nicht nur, sondern überschreibt sie. Bedeutet: Gelangt Ordinypt Wiper ins Unternehmensnetz, sind unter Umständen sämtliche Daten weg. 
Wir erklären, warum die neue Malware so gefährlich ist und wie Sie sich schützen können.

Zu sehen ist eine Grafik, die in vier Rechtecke mit jeweils einem Computerbildschirm eingeteilt ist. Alle Bildschirme zeigen einen Malware-Befall an – zum Beispiel durch Ordinypt Wiper. Bild: www.pixabay.com / 200 Degrees

Ordinypt Wiper heißt eine neue Malware, die in einer Spam-Kampagne aktuell Unternehmen angreift.
Bild: Pixabay / 200 Degrees

Ordinypt Wiper ähnelt GermanWiper

Das IT-News-Portal Bleeping Computer berichtet von einer neuen Malware namens Ordinypt Wiper. Offenbar handelt es sich um einen engen Verwandten von GermanWiper, der sich Ende Juli / Anfang August 2019 verbreitete – immerhin haben die beiden Schadprogramme sehr viele Gemeinsamkeiten. Welche das sind? Zunächst einmal verstecken sich beide im Anhang von Bewerbungsmails. In beiden Fällen erscheinen diese Bewerbungen vielversprechend. Waren bei GermanWiper Lena Kretschmer und Doris Sammer die vermeintlichen Bewerberinnen, heißt die potenzielle Jobkandidatin bei Ordinypt Wiper Eva Richter.
Die Malware Ordinypt Wiper versucht sich unter dem Betreff „Bewerbung via Arbeitsagentur – Eva Richter“ einzuschleichen. Offenbar richten sich die Angreifer an Unternehmen, die über die Jobbörse der Arbeitsagentur offene Stellen anbieten. Das Anschreiben in der E-Mail ist fehlerfrei formuliert und regt dadurch dazu an, die ausführlichen Bewerbungsunterlagen aufzurufen.
Diese befinden sich, neben einem angeblichen Bewerbungsfoto der vermeintlichen Eva Richter, in einer zip-Datei im Anhang. Bei dem Bild handelt es sich offenbar um ein Stock-Foto.

Malware kommt in pdf-Datei

In dieser zip-Datei hat eine weitere Datei den Trojaner im Gepäck. Sie ist benannt als „Eva Richter Bewerbung und Lebenslauf.pdf.exe“ und täuscht vor, eine pdf-Datei zu sein. Wer sie öffnet, erlebt die böse Überraschung: Der Bildschirm leuchtet in verschiedenen Farben auf. Das ist das Zeichen dafür, dass Ordinypt gestartet ist und nun sein Unwesen treibt.
Laut Bleeping Computer geht das wie folgt vonstatten: Nach und nach zerstört Ordinypt alle Dateien auf dem befallenen Computer. Sichtbares Zeichen dafür ist zum Beispiel, dass sämtliche Dateien plötzlich mit der Endung „MyyqA“ versehen sind. Und dann werden noch die sogenannten Schattenkopien von Windows gelöscht und die Recovery-Umgebung deaktiviert.
Hat die Schadsoftware ihr Werk beendet, erscheint in allen Ordnern eine Text-Datei. Darin heißt es: „All deine Dateien wurden verschlüsselt und haben nun die Endung MyyqA. Der einzige Weg die Dateien wiederherzustellen ist es, die Entschlüsselungssoftware zu erwerben, die nur auf deinem PC funktioniert.“

Ransomware oder keine Ransomware?

Dieser Einleitung folgt eine genaue Anleitung zum weiteren Vorgehen: Das Opfer soll einen Tor-Browser von der Internetseite https://www.torproject.org herunterladen, den TOR-Browser installieren, zu einer bestimmten URL navigieren und dann einen Code eingeben. Zuletzt wird die Bezahlung für die wundersame Entschlüsselungssoftware fällig – in Höhe von 1.518,92 USD. Wahlweise kann der Betrag aber auch in Bitcoin bezahlt werden.
Sowohl Ordinypt Wiper als auch GermanWiper kommen damit zwar als Erpressertrojaner daher, sind es aber eigentlich nicht. Denn: In beiden Fällen bringt es letztlich nichts, der Lösegeldforderung nachzugehen – die Daten sind und bleiben zerstört. Deshalb der eindringliche Rat an Betroffene: Gehen Sie nicht auf diese Forderung ein und weisen entsprechend keine Zahlung an!
Hinsichtlich der verschiedenen Schadsoftware-Arten ist Ordinypt daher eher weniger der Kategorie Ransomware zuzuordnen. Bleeping Computer bezeichnet sie vielmehr als „zerstörerische Wiper“.

Zu sehen ist ein Mailprogramm mit einer geöffneten Bewerbungsmail; in ihrem Anhang versteckt sich Ordinypt Wiper. Bild: Bleeping Computer

In dieser Mail versteckt sich Ordinypt Wiper.
Bild: Bleeping Computer

Was tun bei Ordinypt-Wiper-Befall?

Wie groß die Auswirkungen von Ordinypt Wiper auf Ihr Unternehmen sind, hängt von verschiedenen Faktoren ab. Zum Beispiel davon, ob Sie über eine gute Datensicherung verfügen oder nicht. Haben sie mit einem Backup-System vorgesorgt, ist alles halb so wild: Die verschlüsselten Daten können dann einfach durch die Daten aus dem Backup ersetzt werden – selbstverständlich erst nach der gründlichen Virenentfernung durch einen Fachmann.
Sollten Sie über keine zusätzliche Datensicherung verfügen, müssen Sie hoffen, dass Ordinypt Wiper es nicht geschafft hat, die sogenannten Schattenkopien von Windows zu löschen. Das funktionierte nämlich offenbar nicht bei allen Opfern, sodass sie die Möglichkeit hatten, auf eine ältere Version ihrer Daten zuzugreifen.
Wenn Ordinypt beim Löschen der Schattenkopien erfolgreich war, sehen Ihre Karten ohne ein gutes Backup-System schlecht aus: Die Daten sind dann unwiderruflich weg.

Vorsicht ist besser als Nachsicht

Ordinypt Wiper ist also ein typischer Fall für das Prinzip „Vorsicht ist besser als Nachsicht“. Kümmern Sie sich als Unternehmer um ein kontinuierliches und sicheres Backup! Nehmen Sie für das Backup-Management die Unterstützung eines Experten aus dem IT-SERVICE.NETWORK in Anspruch, gehen Sie auf jeden Fall auf Nummer sicher.
Zudem sollten Sie unbedingt in einen Virenschutz investieren. Eine Standard-Sicherheitsvorkehrung ist beispielsweise, den Mailserver so zu konfigurieren, dass ausführbare E-Mail-Anhänge von vornherein unschädlich gemacht werden – bei Ordinypt Wiper war diese Methode in einigen Fällen erfolgreich. Und auch einige Antiviren-Programme waren laut Berichten wohl in der Lage, Ordinypt rechtzeitig zu stoppen.
Lassen Sie sich von uns zu den Themen Backup-Management und Antivirus-Management beraten und schützen Sie sich vor böswilligen Spam-Kampagnen.

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema Arbeitswelt & Trends

Arbeitswelt & Trends

Windows-Zwischenablage

Tipps und Tricks für eine effiziente Nutzung des Zwischenablageverlaufs

von • 20.11.2024

Mit der Windows-Zwischenablage arbeiten Sie effizienter als je zuvor. Der Zwischenablageverlauf ermöglicht den Zugriff auf zuletzt kopierte Inhalte – ideal für den Büroalltag. Wir erklären, w...

Weiterlesen
Arbeitswelt & Trends

Energieeffizienzgesetz

Unternehmen zu mehr Energieeffizienz verpflichtet

von • 28.08.2024

Im September 2023 hat der Bundestag das Energieeffizienzgesetz beschlossen und damit klare Ziele für die Energieeffizienz festgelegt. Das Gesetz definiert unter anderem erstmals Effizienzstandards f...

Weiterlesen
Arbeitswelt & Trends

KI-Texte schreiben lassen

Mit diesen Tipps hören sich generierte Texte menschlicher an

von • 07.08.2024

ChatGPT und Co. verwenden ständig dieselben Formulierungen. Häufig klingen die Ergebnisse gestelzt und verraten ihre Herkunft. Sie fragen sich: Wie kann ich bessere KI-Texte schreiben lassen? Wir...

Weiterlesen