Es gehen mal wieder Erpressungen um. Es handelt sich um Ordinypt. Diese Erpresser-Software hat es wohl auf Personalabteilungen deutscher Firmen abgesehen. Und diese Schadsoftware, die da derzeit im Umlauf ist, ist sogar aggressiv. Sie gibt vor, die Daten zu verschlüsseln. Aber es ist alles ganz anders. Denn der Trojaner löscht Daten, und die Anwender haben keine Chance, diese wieder zurück zu bekommen. Wer macht so etwas?
Das tückische Einfallstor
Wir alle haben sicherlich schon mal irgendeine Email erhalten, in der von „Ihre Rechnung“ oder ähnlich die Rede ist. Die angebliche Rechnung befand sich da im Anhang der Email. Und wer den Anhang geöffnet hat und Makros in Word aktivierte, hatte eine ziemlich sichere Chance auf eine Infektion und eine Verschlüsselung der eigenen Daten. Ich habe oft genug davon erzählt. Ordinypt kommt mit Bewerbungsunterlagen und richtet sich von vornherein an Personalverantwortliche.
Jetzt kann ich mir vorstellen, dass nicht jeder Mitarbeiter der Personalabteilung sensibel für Datensicherheit ist. Klar, man weiß von Virenscannern im Email-Verkehr und vom lokal installierten Antivirus. Sicherlich haben HR-Mitarbeiter auch so ein gewisses Grundverständnis. Schließlich haben sie oftmals mit Anfragen von außerhalb zu tun. Aber ich nehme an, dass man sich verständlicherweise auf seine Arbeit konzentriert und sich logischerweise darauf verlässt, dass die Sicherheitsmechanismen innerhalb der Firma dahingehend greifen, dass sie gefährliche Dinge aussortieren.
Das besondere an Ordinypt
Die Schadsoftware wurde in Delphi geschrieben. Diese Programmiersprache ist für so etwas nicht so richtig üblich, sie ist sogar eher ungewöhnlich. Und wo man bei anderen Krypotrojanern darauf Wert gelegt hatte, eine gewaltige Drohkulisse aufzubauen, ist Ordinypt eher unauffällig. Die Erpressung besagt, man solle Geld an eine Bitcoin-Adresse bezahlen. Und für jedes Opfersystem gibt eine gesonderte Adresse. Die Dateinamen erhalten neue Namen, die eher zufällig aussehen. Und die Inhalte der Dateien werden gelöscht, weshalb das Bezahlen auch keine Daten wiederbringt.
Bemerkenswert ist insbesondere der Text der Email, die da eintrifft und als Anhang die Erpresser-Software mitbringt. Laut der Sicherheitsfirma G-Data wurde sie in 100% fehlerfreiem Deutsch verfasst. Das bedeutet, dass sie mit hoher Sicherheit von einem deutschen Muttersprachler stammen könnte. Umgekehrt bedeutet das aber auch, dass man nicht schon beim Lesen der Nachricht aufhorcht. Und so kommt es dazu, dass Ordinypt wirken kann und sich als Wiper entpuppt: Die Software tut so, als würde sie Daten verschlüsseln, sie entleert sie aber.
Kann man sich schützen?
Wenn der Email-Text unverfänglich aussieht und auch ohne Navigationsgerät verständlich ist, fällt man als Empfänger schnell auf so etwas herein. Da kann man auch niemandem wirklich einen Vorwurf machen. Und da sich der Trojaner gegen Personalabteilungen deutscher Unternehmen richtet, kann man eigentlich nur eins raten: Die Firmen sollten einfach Initiativbewerbungen derzeit nicht annehmen, und die IT-Verantwortlichen sollten dringend Systeme, Software, aber auch Sicherheitssysteme und Virenscanner etc. auf dem aktuellen Stand halten.
Es gibt keine absolute Sicherheit. Das betone ich immer wieder. Man kann nur dafür sorgen, das Risiko so gering wie möglich zu halten. Und am Ende ist es so, dass aktuelle Software und gewisse Verhaltensregeln, die konsequent eingehalten werden, das Risiko eines Befalls reduzieren können. Ganz ausschließen lässt es sich nun einmal nicht. Wer immer diesen Gedanken im Hinterkopf hat, ist wahrscheinlich sensibilisiert genug.