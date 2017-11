Data-Wiper nimmt Deutschland ins Visier

Offenbar treibt ein als Ransomware getarnter Data-Wiper sein Unwesen in Deutschland. Die Ordinypt genannte Malware trudelt als vermeintliche Bewerbung ein und zerstört bei Ausführung Dateien auf dem Rechner. Verfasst sind sowohl die E-Mail als auch die Erpressernachricht in einwandfreiem Deutsch.

Dateien scheinbar verschlüsselt, Erpressernachricht im Ordner: Game Over.

Firmen sollten derzeit Bewerbungen, die per E-Mail eingehen, mit besonderer Vorsicht behandeln. Denn laut G DATA [1] wird über diesen Weg zurzeit die Malware Ordinypt verbreitet, die Dateien zerstört. Zunächst scheinbar eine Ransomware, fällt bei genauerer Betrachtung auf, dass die verschlüsselten Dateien deutlich kleiner als ihre Originale sind. So blieben in einem Test von G DATA von einem 841 MByte großen Ordner nach der "Verschlüsselung" nur noch 7,66 MByte übrig. Trotz Zahlung dürften die Dateien damit unwiederbringlich verloren sein. Sowohl die E-Mails samt Anhang zur Verbreitung des Schädlings als auch die Erpressernachricht sind in fehlerfreiem Deutsch formuliert, was auf einen Muttersprachler als Autor schließen lasse und das Erkennen derartiger E-Mails als schädlichen Spam erschwert. Als Dateianhang nutzen die Malware-Autoren neben einem vermeintlichen Bewerberfoto eine ZIP-Datei, die wiederum zwei als PDFs getarnte EXE-Dateien enthält ("Viktoria Henschel - Bewerbung - November.pdf.exe" und "Viktoria Henschel - Lebenslauf - November.pdf.exe").