Ordinypt Ransomware cele niemiecki użytkowników

Computer Security News

Zabezpieczeń naukowcy odkryli nowy malware o nazwie Ordinypt. Zagrożenie jest wycieraczek przebrany za szkodnika i to jest przeznaczony dla użytkowników z Niemiec.

Złe wieści o Ordinypt ransomware jest to, że zamiast szyfrowania plików użytkowników, Szkodnik niszczy je.

Kilka dni temu, analityka systemów zabezpieczeń Karsten Hahn zauważyłem próbki, która ma zostały kierowania użytkowników z Niemiec.

Ordinypt ransomware jest rozpowszechniany za pośrednictwem e-maili, w języku niemieckim, i dostarczanie notatki w języku bezbłędnie, udając CV wysyłanych w odpowiedzi do pracy reklam.

Po pierwsze malware nazywał się HSDFSDCrypt, ale po tym G danych zmienił go na Ordinypt ransomware.

Złośliwych e-maili przybyciu z dwóch plików – plik JPG, zawierających CV i curriculum vitae.

Pliki w obserwowanej próbki za pomocą dwóch załączników o nazwie Viktoria Henschel – Bewerbungsfoto.jpg i Viktoria Henschel – Bewerbungsunterlagen.zip.

“Archiwum ZIP zawiera dwa pliki EXE, które używają starych sztuczek podwójne rozszerzenia i niestandardowe ikony oszukać użytkowników do myślenia, że jesteś różnych plików. W tym przypadku, pliki PDF.” eksperci od bezpieczeństwa zgłaszane.

“Na komputerach z systemem Windows, które domyślnie ukryte rozszerzenia, rozszerzenie EXE nie pojawi się, a użytkownicy chcą zobaczyć część PDF, które są legalne pliki PDF i nie plików wykonywalnych.”

Gdy ofiara uruchamia go pliku wykonywalnego rozpocznie się Ordinypt ransomware, która zamiast szyfrowania plików, wycieraczki je zastępując pliki losowe dane.

Ordinypt generuje nowe “pseudo szyfrowane-” nazwa pliku, który składa się z 14 znaków alfanumerycznych losowe. Nowe pliki są czasami więcej niż połowę oryginalne.

Ordinypt ransomware krople okupu w każdym folderze, gdzie ma go przetrzeć zawartość pliku. Nazwa nuty jest where_sind_my_files.html. (co przekłada się na where_are_my_files.html).

Ordinypt jest wycieraczek przebraniu ransomware, co jest potwierdzone przez jego dziwne okupu, który nie ma listy Identyfikator infekcji, ani prosić o plik z którym twórcy złośliwego oprogramowania można wyodrębnić identyfikatora.

Okupu Ordinypt ransomware Uwaga używa bitcoin adres z adresu portfela wydruk.

“Kierowanie działów HR poprzez e-maile pracy aplikacji również oznacza, że kampanię umyślne uszkodzenie operacji niektóre przedsiębiorstwa z siedzibą w Niemczech.” -twierdzą naukowcy.

“Ponadto, nie istnieje sposób kontaktu z autorami faux ransomware i weryfikacji płatności. Wszystkie dowody wskazują na fakt, że ktoś kodowane Ordinypt z zamiarem, aby uszkodzić komputery.”


Leave a Reply

Your email address will not be published. Required fields are marked *