Τις τελευταίες μέρες, πολλές εταιρείες στη Γερμανία αντιμετωπίζουν μια νέα spam εκστρατεία. Μια γυναίκα με το όνομα «Eva Richter» στέλνει email, λέγοντας ότι ενδιαφέρεται για μια θέση εργασίας. Στο email περιέχεται μια φωτογραφία και το βιογραφικό της. Στην πραγματικότητα, το βιογραφικό είναι ένα εκτελέσιμο, μεταμφιεσμένο σε αρχείο PDF, το οποίο έχει σχεδιαστεί για να καταστρέψει τα αρχεία του θύματος με την εγκατάσταση του Ordinypt Wiper.
Το Ordinypt είναι ένα κακόβουλο λογισμικό που εμφανίζεται σαν ransomware (ενώ δεν είναι). Ζητά λύτρα από τα θύματα για την αποκρυπτογράφηση των αρχείων τους αλλά ακόμα και αν οι χρήστες πληρώσουν, τα αρχεία τους δεν μπορούν να αποκρυπτογραφηθούν.
Σύμφωνα με πληροφορίες, η spam εκστρατεία ξεκίνησε γύρω στις 11 Σεπτεμβρίου 2019.
Όπως είπαμε και παραπάνω, ο στόχος των απατεώνων (προς το παρόν τουλάχιστον) είναι γερμανικές εταιρείες. Η υποτιθέμενη “Eva Richter» στέλνει email για να ζητήσει εργασία. Το email περιέχει τη φωτογραφία μιας γυναίκας, που υποτίθεται ότι είναι η Eva Richter και ένα αρχείο zip με την ονομασία “Eva Richter Bewerbung und Lebenslauf.zip”, που υποτίθεται ότι είναι το βιογραφικό της.
Το κείμενο του spam email στα γερμανικά είναι:
Αν το θύμα ανοίξει το αρχείο με το υποτιθέμενο βιογραφικό, το Ordinypt θα αρχίσει να κρυπτογραφεί τα αρχεία του υπολογιστή.
Καταστροφή των αρχείων
Το Ordinypt malware αρχίζει να καταστρέφει τα αρχεία στον υπολογιστή του θύματος. Επιπλέον, διαγράφει τα αντίγραφα ασφαλείας και απενεργοποιεί το περιβάλλον αποκατάστασης των Windows 10.
Όταν ολοκληρώσει τη διαδικασία, εμφανίζεται ένα σημείωμα σε κάθε φάκελο, (_how_to_decrypt.txt), το οποίο καθοδηγεί το θύμα και του εξηγεί πώς να μεταβεί σε ένα Tor site και πώς να πληρώσει τα λύτρα, ώστε να αποκτήσει ξανά τα αρχεία του.
Τα περισσότερα θύματα της spam εκστρατείας ανέφεραν το ποσό που τους ζήτησαν οι hackers. Σε όλες τις περιπτώσεις, το ποσό ήταν το ίδιο, 0,1473766 BTC, δηλαδή περίπου 1.518,92 δολάρια.
Επειδή το Ordinypt δεν είναι ransomware, τα θύματα δεν πρέπει να πληρώνουν τα λύτρα, γιατί δεν πρόκειται να λάβουν τα δεδομένα τους.
Σε ορισμένες περιπτώσεις το Ordinypt δεν διέγραψε τα αντίγραφα ασφαλείας, οπότε τα θύματα ήταν σε θέση να επαναφέρουν τα αρχεία τους από το Shadow Volume Copies.
