Вредоносное вредоносное ПО Ordinypt, поражающее Германию в новой спам-кампании

Лоуренс Абрамс
  • 14 сентября 2019 г.
  • 01:51 утра

Идет новая спам-кампания, которая претендует на то, чтобы подать заявление о приеме на работу от «Евы Рихтер», которая присылает свои фото и резюме. Это резюме, тем двух или более, реальные является исполняемым файлом, маскирующимся под PDF-файл, который уничтожает файлы жертвы в процессе установки Ordinypt Wiper.

Ordinypt. это вредоносное вредоносное ПО, которое обычно предназначается для немецких людей и претендует на то, чтобы быть вымогателем, которое шифрует ваши файлы, и после требует от жертвы выкупа, чтобы вернуть свои файлы. Иногда, когда пользователь платит выкуп, файлы были перезаписаны мусором и даже не как правило бывают расшифрованы.

Судя по образцам и запискам с требованием выкупа, замеченным BleepingComputer, эта кампания началась примерно 11 сентября 2019 года.

Поддельное заявление на работу ‘Ева Рихтер’

Эта кампания в настоящее время нацелена на немецкоязычных жертв и претендует на то, чтобы быть заявлением о приеме на работу от человека по имени "Ева Рихтер". Эти письма будут иметь тему "Bewerbung через Arbeitsagentur. Ева Рихтер".

READ  Генеральный директор Uber Трампу Включает гигантов в пакет помощи коронавирусу

В спам-письмах содержится фотография женщины, которая должна стать нашей соискательницей, и почтовый файл с именем «Eva Richter Bewerbung und Lebenslauf.zip», который претендует на то, чтобы быть ее резюме.

Текст этого спам-сообщения на немецком языке:

Вредоносное вредоносное ПО Ordinypt, поражающее Германию в новой спам-кампании

Это переводится на английский как следующее:

Внутри zip-файла вложен файл «Eva Richter Bewerbung und Lebenslauf.pdf.exe», который выглядит как резюме в формате PDF, как показано ниже.

При открытии вредоносное ПО будет мигать экраном разных цветов, а затем начнет шифровать компьютер жертвы.

Уничтожение данных

Как только Ordinypt запущен, он начнет уничтожать файлы на компьютере жертвы. Этот процесс практически идентичен тому, как работает вымогатель, например, пропускает файлы, завершает процессы, не стирает некоторые определенные расширения и даже добавляет расширение к «зашифрованным» файлам, как показано ниже.

Он также удаляет теневые копии томов и отключает среду восстановления Windows 10 после завершения очистки.

Когда сделано, выкуп записка названа в формате [Расширение] _how_to_decrypt.txt находится в каждой папке и содержит инструкции по переходу на сайт Tor и внесению оплаты для получения расшифровщика.

READ  Представлен режим YouTube Flex для Samsung Galaxy Z Flip.

В 10 различных жертвах, замеченных BleepingComputer, все они имели одинаковую сумму выкупа 0,1473766 BTC или приблизительно 1 518,92 долларов США.

Как уже говорилось ранее, эта инфекция, хотя и маскируется под вымогательство, на самом деле является разрушительным средством для очистки. Поэтому не делайте никаких выкупных платежей, так как вы не сможете расшифровать свои файлы с помощью всего, что они предоставляют.

Известны случаи, когда копии теневого тома не удаляются, поэтому, если на вас влияет этот очиститель, вы можете попытаться восстановить файлы из теневых копий томов.