Ordinypt Ransomware target pengguna Jerman

Computer Security News

Keamanan peneliti menemukan malware baru yang disebut Ordinypt. Ancaman adalah wiper menyamar sebagai ransomware dan ini target pengguna Jerman hanya.

Berita buruk tentang Ordinypt ransomware adalah bahwa alih-alih mengenkripsi file pengguna, malware menghancurkan mereka.

Beberapa hari lalu, peneliti keamanan Karsten Hahn melihat sampel yang telah menargetkan pengguna Jerman hanya.

Ordinypt ransomware didistribusikan melalui email yang ditulis dalam bahasa Jerman, dan memberikan catatan dalam bahasa yang bebas dari kesalahan, berpura-pura menjadi resume dikirim jawaban untuk pekerjaan iklan.

Pada awalnya, nama malware adalah HSDFSDCrypt, tapi setelah itu G Data mengubahnya menjadi Ordinypt ransomware.

Email yang jahat tiba dengan dua file – file JPG yang berisi lamaran dan curriculum vitae.

File dalam sampel diamati menggunakan dua lampiran yang disebut Viktoria Henschel-Bewerbungsfoto.jpg dan Viktoria Henschel-Bewerbungsunterlagen.zip.

“ZIP arsip berisi dua file EXE yang menggunakan trik ganda-ekstensi dan kustom ikon lama untuk menipu pengguna ke dalam berpikir mereka sedang file yang berbeda. Dalam ini kasus, file PDF.” pakar keamanan yang dilaporkan.

“Pada Windows PC yang menyembunyikan ekstensi file secara default, ekstensi EXE tidak muncul, dan pengguna hanya ingin melihat bagian PDF, yang sah PDF, dan tidak executable.”

Setelah korban berjalan itu dieksekusi akan meluncurkan Ordinypt ransomware, yang bukannya enkripsi file, wiper mereka dengan mengganti file dengan data acak.

Ordinypt menghasilkan baru “pseudo-dienkripsi-” nama file, yang terdiri dari 14 karakter alfa-numerik acak. Kadang-kadang file baru yang lebih dari setengah ukuran yang asli.

Ordinypt ransomware menjatuhkan catatan tebusan dalam setiap folder mana itu telah dihapus file isi. Nama catatan adalah where_sind_my_files.html. (yang diterjemahkan ke where_are_my_files.html).

Ordinypt adalah wiper menyamar sebagai ransomware yang dikonfirmasi oleh catatan tebusan aneh yang tidak mencantumkan ID infeksi, atau apakah ia meminta sebuah file dari mana pencipta perangkat perusak yang dapat mengekstrak ID.

Catatan tebusan Ordinypt ransomware catatan menggunakan alamat bitcoin dari alamat dompet hardcoded.

“Target dari HR Departemen melalui pekerjaan aplikasi email juga berarti bahwa ini adalah kampanye yang disengaja untuk merusak operasi dari beberapa perusahaan berbasis Jerman.” Para peneliti mengatakan.

“Selain itu, ada cara menghubungi penulis ransomware palsu dan memverifikasi pembayaran. Seluruh bukti menunjuk kepada kenyataan bahwa seseorang dikodekan Ordinypt dengan maksud untuk merusak komputer.”


Leave a Reply

Your email address will not be published. Required fields are marked *