Ordinypt Ransomware sasaran pengguna Jerman

Computer Security News

Keselamatan para penyelidik mendapati perisian berniat jahat yang baru dipanggil Ordinypt. Ancaman adalah pengelap yang menyamar sebagai ransomware dan ia mensasarkan pengguna hanya di Jerman.

Berita buruk tentang Ordinypt ransomware ialah bahawa bukan menyulitkan fail pengguna, perisian berniat jahat yang memusnahkan mereka.

Beberapa hari yang lalu, penyelidik Keselamatan Karsten Hahn perhatikan sampel yang telah mensasarkan pengguna hanya di Jerman.

Di Ordinypt ransomware diedarkan melalui e-mel yang ditulis dalam Bahasa Jerman, dan menyampaikan Nota-Nota dalam Bahasa bebas ralat, berpura-pura menjadi resume yang dihantar dalam menjawab kepada kerja adverts.

Pada mulanya, nama perisian berniat jahat yang telah HSDFSDCrypt, tetapi selepas itu G Data berubah kepada Ordinypt ransomware.

E-mel berniat jahat tiba dengan dua fail – fail JPG yang mengandungi resume tersebut dan satu resume.

Fail dalam sampel diperhatikan menggunakan dua lampiran yang dipanggil Viktoria Henschel – Bewerbungsfoto.jpg dan Viktoria Henschel – Bewerbungsunterlagen.zip.

“Arkib ZIP mengandungi dua fail EXE yang menggunakan helah ikon double-sambungan dan adat lama untuk menipu pengguna untuk berfikir mereka sudah fail yang berbeza. Dalam ini kes, fail PDF.” pakar Keselamatan dilaporkan.

“Pada Windows PC yang sembunyi sambungan fail secara lalai, sambungan EXE tidak muncul, dan pengguna hanya mahu melihat bahagian PDF, yang boleh sah PDF, dan tidak executable yang.”

Sebaik sahaja mangsa berjalan ia laksana itu akan melancarkan di Ordinypt ransomware, mana bukan menyulitkan fail, pengelap cermin hadapan mereka dengan menggantikan fail dengan data secara rawak.

Ordinypt menjana baru “pseudo-disulitkan-” nama fail, yang terdiri daripada 14 aksara alfa-numerik yang rawak. Kadang-kadang fail baru adalah lebih daripada separuh saiz yang asal.

Di Ordinypt ransomware jatuh Nota tebusan dalam setiap folder di mana ia telah dihapuskan kandungan fail. Nama kertas adalah where_sind_my_files.html. (yang diterjemahkan kepada where_are_my_files.html).

Ordinypt adalah pengelap yang menyamar sebagai ransomware yang disahkan oleh Syarikat Nota pelik tebusan yang tidak senarai ID jangkitan, atau Adakah ia meminta fail dari mana pencipta perisian berniat jahat yang boleh mengekstrak ID

Nota tebusan Ordinypt ransomware Nota menggunakan alamat bitcoin dari alamat dompet hardcoded.

“Sasaran Jabatan sumber manusia melalui e-mel permohonan kerja juga bermakna bahawa ini adalah kempen yang disengajakan untuk merosakkan operasi beberapa syarikat berasaskan Jerman.” para penyelidik berkata.

“Di samping itu, terdapat no cara menghubungi penulis ransomware palsu dan mengesahkan pembayaran. Segala keterangan mata kepada fakta bahawa seseorang berkod Ordinypt dengan niat untuk merosakkan komputer. “


Leave a Reply

Your email address will not be published. Required fields are marked *