Ordinypt Ransomware cele niemiecki użytkowników
Computer Security NewsZabezpieczeń naukowcy odkryli nowy malware o nazwie Ordinypt. Zagrożenie jest wycieraczek przebrany za szkodnika i to jest przeznaczony dla użytkowników z Niemiec.
Złe wieści o Ordinypt ransomware jest to, że zamiast szyfrowania plików użytkowników, Szkodnik niszczy je.
Kilka dni temu, analityka systemów zabezpieczeń Karsten Hahn zauważyłem próbki, która ma zostały kierowania użytkowników z Niemiec.
Ordinypt ransomware jest rozpowszechniany za pośrednictwem e-maili, w języku niemieckim, i dostarczanie notatki w języku bezbłędnie, udając CV wysyłanych w odpowiedzi do pracy reklam.
Po pierwsze malware nazywał się HSDFSDCrypt, ale po tym G danych zmienił go na Ordinypt ransomware.
Złośliwych e-maili przybyciu z dwóch plików – plik JPG, zawierających CV i curriculum vitae.
Pliki w obserwowanej próbki za pomocą dwóch załączników o nazwie Viktoria Henschel – Bewerbungsfoto.jpg i Viktoria Henschel – Bewerbungsunterlagen.zip.
“Archiwum ZIP zawiera dwa pliki EXE, które używają starych sztuczek podwójne rozszerzenia i niestandardowe ikony oszukać użytkowników do myślenia, że jesteś różnych plików. W tym przypadku, pliki PDF.” eksperci od bezpieczeństwa zgłaszane.
“Na komputerach z systemem Windows, które domyślnie ukryte rozszerzenia, rozszerzenie EXE nie pojawi się, a użytkownicy chcą zobaczyć część PDF, które są legalne pliki PDF i nie plików wykonywalnych.”
Gdy ofiara uruchamia go pliku wykonywalnego rozpocznie się Ordinypt ransomware, która zamiast szyfrowania plików, wycieraczki je zastępując pliki losowe dane.
Ordinypt generuje nowe “pseudo szyfrowane-” nazwa pliku, który składa się z 14 znaków alfanumerycznych losowe. Nowe pliki są czasami więcej niż połowę oryginalne.
Ordinypt ransomware krople okupu w każdym folderze, gdzie ma go przetrzeć zawartość pliku. Nazwa nuty jest where_sind_my_files.html. (co przekłada się na where_are_my_files.html).
Ordinypt jest wycieraczek przebraniu ransomware, co jest potwierdzone przez jego dziwne okupu, który nie ma listy Identyfikator infekcji, ani prosić o plik z którym twórcy złośliwego oprogramowania można wyodrębnić identyfikatora.
Okupu Ordinypt ransomware Uwaga używa bitcoin adres z adresu portfela wydruk.
“Kierowanie działów HR poprzez e-maile pracy aplikacji również oznacza, że kampanię umyślne uszkodzenie operacji niektóre przedsiębiorstwa z siedzibą w Niemczech.” -twierdzą naukowcy.
“Ponadto, nie istnieje sposób kontaktu z autorami faux ransomware i weryfikacji płatności. Wszystkie dowody wskazują na fakt, że ktoś kodowane Ordinypt z zamiarem, aby uszkodzić komputery.”
