Ordinypt Wiper

Schadsoftware kommt per Fake-Bewerbung

Von in Aktuelles
17
Sep
'19

Nach GermanWiper sorgt jetzt die Schadsoftware Ordinypt Wiper für Aufruhr. Genau wie beim Vorgänger verbreitet sich die Malware als Bewerbungsanhang und verschlüsselt Dateien nicht nur, sondern überschreibt sie. Bedeutet: Gelangt Ordinypt Wiper ins Unternehmensnetz, sind unter Umständen sämtliche Daten weg. 

Wir erklären, warum die neue Malware so gefährlich ist und wie Sie sich schützen können.

Zu sehen ist eine Grafik, die in vier Rechtecke mit jeweils einem Computerbildschirm eingeteilt ist. Alle Bildschirme zeigen einen Malware-Befall an – zum Beispiel durch Ordinypt Wiper. Bild: www.pixabay.com / 200 Degrees

Ordinypt Wiper heißt eine neue Malware, die in einer Spam-Kampagne aktuell Unternehmen angreift.
Bild: Pixabay / 200 Degrees

Ordinypt Wiper ähnelt GermanWiper

Das IT-News-Portal Bleeping Computer berichtet von einer neuen Malware namens Ordinypt Wiper. Offenbar handelt es sich um einen engen Verwandten von GermanWiper, der sich Ende Juli / Anfang August 2019 verbreitete – immerhin haben die beiden Schadprogramme sehr viele Gemeinsamkeiten. Welche das sind? Zunächst einmal verstecken sich beide im Anhang von Bewerbungsmails. In beiden Fällen erscheinen diese Bewerbungen vielversprechend. Waren bei GermanWiper Lena Kretschmer und Doris Sammer die vermeintlichen Bewerberinnen, heißt die potenzielle Jobkandidatin bei Ordinypt Wiper Eva Richter.

Die Malware Ordinypt Wiper versucht sich unter dem Betreff „Bewerbung via Arbeitsagentur – Eva Richter“ einzuschleichen. Offenbar richten sich die Angreifer an Unternehmen, die über die Jobbörse der Arbeitsagentur offene Stellen anbieten. Das Anschreiben in der E-Mail ist fehlerfrei formuliert und regt dadurch dazu an, die ausführlichen Bewerbungsunterlagen aufzurufen.

Diese befinden sich, neben einem angeblichen Bewerbungsfoto der vermeintlichen Eva Richter, in einer zip-Datei im Anhang. Bei dem Bild handelt es sich offenbar um ein Stock-Foto.

Malware kommt in pdf-Datei

In dieser zip-Datei hat eine weitere Datei den Trojaner im Gepäck. Sie ist benannt als „Eva Richter Bewerbung und Lebenslauf.pdf.exe“ und täuscht vor, eine pdf-Datei zu sein. Wer sie öffnet, erlebt die böse Überraschung: Der Bildschirm leuchtet in verschiedenen Farben auf. Das ist das Zeichen dafür, dass Ordinypt gestartet ist und nun sein Unwesen treibt.

Laut Bleeping Computer geht das wie folgt vonstatten: Nach und nach zerstört Ordinypt alle Dateien auf dem befallenen Computer. Sichtbares Zeichen dafür ist zum Beispiel, dass sämtliche Dateien plötzlich mit der Endung „MyyqA“ versehen sind. Und dann werden noch die sogenannten Schattenkopien von Windows gelöscht und die Recovery-Umgebung deaktiviert.

Hat die Schadsoftware ihr Werk beendet, erscheint in allen Ordnern eine Text-Datei. Darin heißt es: „All deine Dateien wurden verschlüsselt und haben nun die Endung MyyqA. Der einzige Weg die Dateien wiederherzustellen ist es, die Entschlüsselungssoftware zu erwerben, die nur auf deinem PC funktioniert.“

Ransomware oder keine Ransomware?

Dieser Einleitung folgt eine genaue Anleitung zum weiteren Vorgehen: Das Opfer soll einen Tor-Browser von der Internetseite https://www.torproject.org herunterladen, den TOR-Browser installieren, zu einer bestimmten URL navigieren und dann einen Code eingeben. Zuletzt wird die Bezahlung für die wundersame Entschlüsselungssoftware fällig – in Höhe von 1.518,92 USD. Wahlweise kann der Betrag aber auch in Bitcoin bezahlt werden.

Sowohl Ordinypt Wiper als auch GermanWiper kommen damit zwar als Erpressertrojaner daher, sind es aber eigentlich nicht. Denn: In beiden Fällen bringt es letztlich nichts, der Lösegeldforderung nachzugehen – die Daten sind und bleiben zerstört. Deshalb der eindringliche Rat an Betroffene: Gehen Sie nicht auf diese Forderung ein und weisen entsprechend keine Zahlung an!

Hinsichtlich der verschiedenen Schadsoftware-Arten ist Ordinypt daher eher weniger der Kategorie Ransomware zuzuordnen. Bleeping Computer bezeichnet sie vielmehr als „zerstörerische Wiper“.

Zu sehen ist ein Mailprogramm mit einer geöffneten Bewerbungsmail; in ihrem Anhang versteckt sich Ordinypt Wiper. Bild: Bleeping Computer

In dieser Mail versteckt sich Ordinypt Wiper.
Bild: Bleeping Computer

Was tun bei Ordinypt-Wiper-Befall?

Wie groß die Auswirkungen von Ordinypt Wiper auf Ihr Unternehmen sind, hängt von verschiedenen Faktoren ab. Zum Beispiel davon, ob Sie über eine gute Datensicherung verfügen oder nicht. Haben sie mit einem Backup-System vorgesorgt, ist alles halb so wild: Die verschlüsselten Daten können dann einfach durch die Daten aus dem Backup ersetzt werden – selbstverständlich erst nach der gründlichen Virenentfernung durch einen Fachmann.

Sollten Sie über keine zusätzliche Datensicherung verfügen, müssen Sie hoffen, dass Ordinypt Wiper es nicht geschafft hat, die sogenannten Schattenkopien von Windows zu löschen. Das funktionierte nämlich offenbar nicht bei allen Opfern, sodass sie die Möglichkeit hatten, auf eine ältere Version ihrer Daten zuzugreifen.

Wenn Ordinypt beim Löschen der Schattenkopien erfolgreich war, sehen Ihre Karten ohne ein gutes Backup-System schlecht aus: Die Daten sind dann unwiderruflich weg.

Vorsicht ist besser als Nachsicht

Ordinypt Wiper ist also ein typischer Fall für das Prinzip „Vorsicht ist besser als Nachsicht“. Kümmern Sie sich als Unternehmer um ein kontinuierliches und sicheres Backup! Nehmen Sie für das Backup-Management die Unterstützung eines Experten aus dem IT-SERVICE.NETWORK in Anspruch, gehen Sie auf jeden Fall auf Nummer sicher.

Zudem sollten Sie unbedingt in einen Virenschutz investieren. Eine Standard-Sicherheitsvorkehrung ist beispielsweise, den Mailserver so zu konfigurieren, dass ausführbare E-Mail-Anhänge von vornherein unschädlich gemacht werden – bei Ordinypt Wiper war diese Methode in einigen Fällen erfolgreich. Und auch einige Antiviren-Programme waren laut Berichten wohl in der Lage, Ordinypt rechtzeitig zu stoppen.

Lassen Sie sich von uns zu den Themen Backup-Management und Anti-Virus-Management beraten und schützen Sie sich vor böswilligen Spam-Kampagnen.

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, IT-Themen verständlich und SEO-optimiert aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.