Ordinypt, il wiper camuffato da ransomware

Una nuova minaccia informatica prende di mira gli utenti tedeschi, simula il comportamento di un ransomware ma è in realtà progettato per distruggere i dati senza possibilità di recupero

Roma – Un nuovo ransomware si aggira tra le email in lingua tedesca, un malware soprannominato Ordinypt che in realtà simula il comportamento di un codice cripta-file procedendo invece alla cancellazione dei dati degli utenti . Ordinypt è insomma un wiper , una minaccia pericolosa che per ragioni ignote vuole passare da ransomware anche dopo aver distrutto i file del sistema infetto.

Scoperto inizialmente da Michael Gillespie , Ordinypt è stato poi analizzato da un analista di G Data (Karsten Hahn) che ne ha identificato l’origine: il wiper arriva sotto forma di allegato di un’email scritta in tedesco, con un file ZIP che dovrebbe contenere un curriculum compilato nella stessa lingua.

In realtà l’archivio include due eseguibili camuffati da documenti PDF – un trucco usato da tempo grazie alla politica di Microsoft di disabilitare la visualizzazione delle estensioni dei file nella configurazione di default.

Lanciando uno di questi file si manda in esecuzione il wiper, che procede quindi a sovrascrivere i file dell’utente con combinazioni casuali di numeri e lettere (maiuscole e minuscole). Al posto dei file originali vengono creati doppioni fasulli con un nome creato a partire dallo stesso algoritmo di sovrascrittura, e in ogni cartella viene posizionato un file HTML contenente una nota di riscatto tipica dei ransomware .


Mai come in questo caso, però, le informazioni incluse nel documento non hanno alcuna utilità pratica: gli indirizzi Bitcoin forniti sono selezionati casualmente da un elenco di 101 portafogli virtuali, e i creatori del malware non sembrano interessati a fornire istruzioni chiare su come contattarli per “ripristinare” dati che sono andati irrimediabilmente distrutti.

Come già fatto da NotPetya questa estate, insomma, Ordinypt ha come unico scopo quello di danneggiare i sistemi infetti, mentre la lingua utilizzata e il metodo di propagazione sembrano indicare che il bersaglio dei cyber-criminali siano soltanto le aziende tedesche .

Alfonso Maruccia

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Paolo scrive:
    Trip
    La violenza, la discriminazione, la follia, la carenza culturale di un popolo non può essere imputata ad un albergatore e tripadvisor non dovrebbe combatterla con larroganza e la superficialità dei forti. Il bedge o il marchio della vergogna (...che tanto mi ricorda qualcosaltro, ma non riesco a capire cosa...), andrebbe messo al paese, alla regione, allo stato... anche perché, se pernotti nella periferia di GotamCity, il problema non è lalbergatore che si trova a registrare Pinguin e Joker, ma lamministrazione comunale, che malgrado i super eroi e gli incassi dei diritti TV, non riesce a rendere il quartiere e lalbergo, che è un luogo aperto al pubblico allinterno del quartiere, un posto sicuro! Se vado in un paese a caso... dove è legale girare con le armi e cè il rischio che un pazzo entri nellalbergo dove soggiorno e faccia tutti fuori, posso lamentarmi con lalbergatore per non aver schierato lesercito fuori dalla porta, malgrado sapesse che nel suo paese si possono vendere armi ai maggiori di 18 anni... e poi magari farlo pire marchiare con un bel bedge albergo con un pessimo servizio di sicurezza ?? Sono lunico a pensare che sia follia? Quale diritto stanno tutelando dando voce a tutto ed al contrario di tutto senza che siano fatti i dovuti approfondimenti, dando per scontato che la colpa abbia una sola verità e guardandosi bene dallo scontrarsi con i potenti? È molto semplice, il diritto di lucrare... che non condanno, è il loro mestiere, ma dovrebbero smetterla di nascondersi dietro la libertà di espressione? Siamo caduti così in basso da non sapere più riconoscere la libertà di espressione dalla diffamazione? Ognuno è libero e devessere libero di poter esprimere la propria opinione assumendosene la responsabilità e chi veicola le informazioni deve essere responsabile e regolamentato al fine di veicolare il giusto messaggio sociale sia quando veicola il messaggio dellimprenditore sia quando veicola quello dellutente. La responsabilità oggettiva devessere il deterrente per un corretto operato. Solo quando ci saranno delle regole certe e si assumeranno le proprie responsabilità, il servizio sarà utile per tutti. Che poi, per rendere trip un posto più giusto e più vero, basterebbe poco: la responsabilità oggettiva sulle pubblicazioni e che iniziassero a pagare le tasse nei paesi in cui lavorano, applicando le aliquote sul numero degli utenti censiti nei singoli paesi... con conseguente addio ai fake...
  • xvalerix scrive:
    ad ammettere farebbero più bella figura
    Più di due mesi per pubblicare la mia pessima esperienza di un hotel in Ungheria, tenete conto che le recensioni erano molto alte, per fortuna ho allegato fotografie non impugnabili. E visto che di fotografie parliamo, perché non posso pubblicarne di più ma devo rispettare i loro parametri tipo 1 foto per la vista esterna, 1 per la camera 1 per il bagno ecc ecc?!Preferisco non aggiungere altro!!
  • Pianeta Hotel scrive:
    ...
    Tripadvisor va abolito! Fa solo diffamazione! @^
    • panda rossa scrive:
      Re: ...
      - Scritto da: Pianeta Hotel
      Tripadvisor va abolito! Fa solo diffamazione! @^E io dove lo scrivo che nel tuo hotel di XXXXX ci sono i topi in camera, il bagno non e' pulito, l'aria condizionata non funziona, e per colazione c'e' un erogatore di acqua calda, e una bustina di te' gia' inzuppata ?Il tutto per 500 euro a notte, e non prendi neanche la carta di credito.Dove lo scrivo?
      • Pianeta Hotel scrive:
        Re: ...
        Inserisca pure una lettera di lamentele nell'apposito contenitore situato appena fuori, la leggeremo sicuramente e sistemeremo tutti i problemi! @^[img]http://www.eurocomitalia.it/images/img_prodotti/cestino-classico-acciaio-ghisa-901.jpg[/img]
Chiudi i commenti