Außenaufnahme des Polizeipräsidiums Osthessen
 
17.11.2017

Informationen zum Erpressungstrojaner „Ordinypt“

Trojaner im Umlauf
FULDA – Das Fachkommissariat für Internetkriminalität beim Polizeipräsidium Osthessen warnt vor dem Auftreten eines neuen Erpressungstrojaners.

Nach Mitteilung des Bundeskriminalamtes und des nationalen Cyber-Abwehrzentrums im Bundesamt für Sicherheit in der Informationstechnik (BSI) verbreitet sich seit Anfang November eine neue Variante von Erpressungstrojanern. Er scheint sich gezielt an die Personalabteilungen von Firmen zu richten.

Der Schadcode verbreitet sich durch E-Mails, die als vermeintliche Bewerbung getarnt sind. Im Anhang der Mail befinden sich zwei ausführbare Dateien (*.exe) die durch ein manipuliertes Symbol als PDF-Dateien getarnt sind. Die Dateinamen lauten beispielsweise „Viktoria Henschel – Bewerbung – November.pdf.ex“

Der Versuch, eine solche Datei zu öffnen, aktiviert den Trojaner. Die Malware zeigt dann verschiedenste Dateien auf den betroffenen Rechnern als „verschlüsselt“ an. Tatsächlich werden diese aber quasi geleert. Erste Untersuchungen haben ergeben, dass alle betroffenen Dateien unwiederbringlich gelöscht waren. Dennoch erhält der Anwender auch die Nachricht mit einer Erpresserbotschaft zur Forderung einer Zahlung in der virtuellen Währung Bitcoin.

Tests haben ergeben, dass vor allem Microsoft-Betriebssysteme der Versionen Windows XP, Vista, Windows 8 und 9 betroffen sind. Eine Betroffenheit von Windows 10 konnte bisher nicht bestätigt werden.

Aktuelle Anti-Viren-Programme erkennen die Malware und können eine Infektion der Systeme verhindern.

Aufgrund seiner digitalen Signatur erhielt der hier beschriebene Trojaner von den Analysten den Namen „Ordinypt“.

Um Ordinypt oder anderer Schadsoftware nicht zum Opfer zu fallen, empfiehlt die Polizei:

- Halten sie ihr Betriebssystem und die verwendete Software durch regelmäßige (automatische) Updates auf den neuesten Stand.
- Verwenden sie eine möglichst umfangreiche Antivirensoftware, die sich ebenfalls regelmäßig aktualisiert.
- Legen sie regelmäßig Sicherungen ihrer Datenbanken an (Backup) und halten sie diese Sicherungen getrennt von der übrigen Netzwerkumgebung vor. Nach einem Befall kann damit der Datenbestand wieder hergestellt und ein übermäßiger Datenverlust vermieden werden.
- Beschulen sie die am System berechtigten Mitarbeiter regelmäßig und sensibilisieren sie diese insbesondere im Hinblick auf Schadanhänge in E-Mails.
- Vergeben sie eingeschränkte Systemrechte an die Mitarbeiter um unabsichtliche Installationen zu vermeiden.
- Schalten sie die „Makro“-Funktion z.B. für Excel, Word oder Outlook aus. Dies erfolgt über die Sicherheitseinstellungen des jeweiligen Programmes. Anleitungen hierzu gibt es im Internet.
- Informieren sie sich regelmäßig über die zurzeit vorliegenden Warnmeldungen zur Verbreitung von Schadsoftware.
- Gehen Sie keinesfalls auf die Forderungen von Cyber-Erpresser sein. Informieren sie schon im Verdachtsfall sofort ihren zuständigen Systemadministrator und die Polizei.

Weitere aktuelle Veröffentlichungen zum Trojaner Ordinypt:

HEISE

BOTFREI