Alfonso Maruccia

Ordinypt, il wiper camuffato da ransomware

Una nuova minaccia informatica prende di mira gli utenti tedeschi, simula il comportamento di un ransomware ma Ŕ in realtÓ progettato per distruggere i dati senza possibilitÓ di recupero

Roma - Un nuovo ransomware si aggira tra le email in lingua tedesca, un malware soprannominato Ordinypt che in realtà simula il comportamento di un codice cripta-file procedendo invece alla cancellazione dei dati degli utenti. Ordinypt è insomma un wiper, una minaccia pericolosa che per ragioni ignote vuole passare da ransomware anche dopo aver distrutto i file del sistema infetto.

Scoperto inizialmente da Michael Gillespie, Ordinypt è stato poi analizzato da un analista di G Data (Karsten Hahn) che ne ha identificato l'origine: il wiper arriva sotto forma di allegato di un'email scritta in tedesco, con un file ZIP che dovrebbe contenere un curriculum compilato nella stessa lingua.

In realtà l'archivio include due eseguibili camuffati da documenti PDF - un trucco usato da tempo grazie alla politica di Microsoft di disabilitare la visualizzazione delle estensioni dei file nella configurazione di default.
Lanciando uno di questi file si manda in esecuzione il wiper, che procede quindi a sovrascrivere i file dell'utente con combinazioni casuali di numeri e lettere (maiuscole e minuscole). Al posto dei file originali vengono creati doppioni fasulli con un nome creato a partire dallo stesso algoritmo di sovrascrittura, e in ogni cartella viene posizionato un file HTML contenente una nota di riscatto tipica dei ransomware.


Mai come in questo caso, però, le informazioni incluse nel documento non hanno alcuna utilità pratica: gli indirizzi Bitcoin forniti sono selezionati casualmente da un elenco di 101 portafogli virtuali, e i creatori del malware non sembrano interessati a fornire istruzioni chiare su come contattarli per "ripristinare" dati che sono andati irrimediabilmente distrutti.

Come già fatto da NotPetya questa estate, insomma, Ordinypt ha come unico scopo quello di danneggiare i sistemi infetti, mentre la lingua utilizzata e il metodo di propagazione sembrano indicare che il bersaglio dei cyber-criminali siano soltanto le aziende tedesche.

Alfonso Maruccia

fonte immagine
Notizie collegate
  • SicurezzaNotPetya, per le vittime c'è speranzaPositive Technologies ha trovato un modo per decifrare i dati sfruttando alcuni errori commessi dagli autori del virus. Tuttavia non Ŕ ancora efficace al 100 per cento. Nel frattempo l'autore del Petya originale rende pubblica la sua chiave di cifratura con l'intento di aiutare
  • AttualitàBadRabbit, tentativi di recupero datiLe analisi sulla nuova infezione da ransomware evidenziano qualche speranza di recupero per i file criptati, mentre il collegamento con le epidemie precedenti sarebbe confermato in via definitiva. La colpa? ╚ sempre di NSA
23 Commenti alla Notizia Ordinypt, il wiper camuffato da ransomware
Ordina
  • "il wiper arriva sotto forma di allegato di un'email scritta in tedesco, con un file ZIP che dovrebbe contenere un curriculum compilato nella stessa lingua"

    Svegliaaaaaaaaaaaa! Ma si dai, apriamo qualsiasi cosa! Anche le mail scritte in un'altra lingua. Non si sa mai, potrebbe essere una vecchia eredità...
    non+autenticato
  • guarda che esistono persone ma soprattutto aziende che ci lavorano con le altre nazioni quindi ricevere email in lingue differenti (persino curriculum) e' al quanto normale.
    non+autenticato
  • Le mail truffaldine si riconosco subito dal titolo della mail stessa. Esempio: "CEAU TE VOGLIEVO CONOSCIERE, CONTROLA IL MIO CURICULUM".

    Svegliaaaaaaaaa
    non+autenticato
  • No ma infatti il tedesco non lo parla nessuno, è una lingua fittizia.

    Non t'è passato magari per quel cervello bacato che magari queste email le mandano in tedesco usando come target utenti tedeschi? No eh?
    non+autenticato
  • - Scritto da: ...
    > No ma infatti il tedesco non lo parla nessuno, è
    > una lingua
    > fittizia.
    >
    > Non t'è passato magari per quel cervello bacato
    > che magari queste email le mandano in tedesco
    > usando come target utenti tedeschi? No
    > eh?

    Il target sono utenti winari, se hai letto bene l'articolo.
    Che poi siano anche tedeschi e' solo un "di cui".

    Ma vale sempre la massima: "no windows, no malware!"
  • >
    > Ma vale sempre la massima: "no windows, no
    > malware!"

    Meglio ancora, "mo USB, no malware!", oppure, "no android, no malware!"

    Ciao ciccio
    non+autenticato
  • - Scritto da: Motorino in penna
    > >
    > > Ma vale sempre la massima: "no windows, no
    > > malware!"
    >
    > Meglio ancora, "mo USB, no malware!", oppure, "no
    > android, no
    > malware!"
    >
    > Ciao ciccio

    Meglio ancora, "no MacOS, no bruciaculo".

    Ciao gayone!
    non+autenticato
  • - Scritto da: ...
    > No ma infatti il tedesco non lo parla nessuno, è
    > una lingua
    > fittizia.
    >
    > Non t'è passato magari per quel cervello bacato
    > che magari queste email le mandano in tedesco
    > usando come target utenti tedeschi? No
    > eh?

    Uno che si rivolge ad un altro dandogli del cervello bacato, di solito non merita risposta. Ma faccio una piccola eccezione. Si parla di analista G-DATA (antivirus tedesco), ma non è detto che il target siano tutti utenti tedeschi. Poi ci sarebbero piccoli trucchetti da spiegare, ma con chi si pone come te ripeto il solito SVEGLIAAAAAAAA
    non+autenticato
  • Ma... ma... ma che sei, rincoglionito? Newbie, inesperto
    non+autenticato
  • Un coglione. Newbie, inesperto
    non+autenticato
  • Un coglione. Newbie, inesperto
    non+autenticato
  • Mi chiedo perchè Microsoft, nell'ultima major Release (Red Stone 3), non abbia fatto in modo di abilitare l'accesso controllato alle cartelle, non solo a quelli che usano attivamente Windows Defender, ma anche a quelli che ad es. ce l'hanno abilitato in modalità passiva.

    Oppure perchè non abbia fornito delle API utilizzabili solo da programmi formalmente riconosciuti come anti-virali leciti dal sistema (al fine di evitare manipolazioni da parte di malware ecc.).
    non+autenticato
  • la domanda e' perche' si ostina a nascondere le estensioni dei file per default ...
    non+autenticato
  • perché l'utonto non deve sapere come funziona la sua macchina sotto il cofano.
    quando ci stanno problemi deve correre dal meccanico accreditato (mamma micro$oft) e nessun altro.
    non+autenticato
  • Da questo punto di vista apple è stata più furba, da sempre ha seppellito la resource fork all'interno del file.
    non+autenticato
  • - Scritto da: lorenzo
    > la domanda e' perche' si ostina a nascondere le
    > estensioni dei file per default
    > ...

    Tratta i tuoi utenti come coglioni, e solo i coglioni useranno il tuo sistema.
  • - Scritto da: panda rossa
    > - Scritto da: lorenzo
    > > la domanda e' perche' si ostina a nascondere
    > le
    > > estensioni dei file per default
    > > ...
    >
    > Tratta i tuoi utenti come coglioni, e solo i
    > coglioni useranno il tuo
    > sistema.

    ed ecco spiegata la diffusione planetaria di Windows.

    ah, Panda, ti sei gia' ripre4so dall'immane figura di merda su Minix? che ti sia di lezione.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > - Scritto da: lorenzo
    > > > la domanda e' perche' si ostina a
    > nascondere
    > > le
    > > > estensioni dei file per default
    > > > ...
    > >
    > > Tratta i tuoi utenti come coglioni, e solo i
    > > coglioni useranno il tuo
    > > sistema.
    >
    > ed ecco spiegata la diffusione planetaria di
    > Windows.
    >
    > ah, Panda, ti sei gia' ripre4so dall'immane
    > figura di merda su Minix? che ti sia di
    > lezione.

    Vedi povero coglione, per poter tacciare qualcuno di figura di merda occorre prima di tutto essere identificabili.

    E se qualcuno, per non far capire agli altri che e' un coglione, si nasconde dietro a tre puntini, puo' solo dire di essere coglione.

    Tu che cosa sei?
  • - Scritto da: panda rossa
    > - Scritto da: ...
    > > - Scritto da: panda rossa
    > > > - Scritto da: lorenzo
    > > > > la domanda e' perche' si ostina a
    > > nascondere
    > > > le
    > > > > estensioni dei file per default
    > > > > ...
    > > >
    > > > Tratta i tuoi utenti come coglioni, e
    > solo
    > i
    > > > coglioni useranno il tuo
    > > > sistema.
    > >
    > > ed ecco spiegata la diffusione planetaria di
    > > Windows.
    > >
    > > ah, Panda, ti sei gia' ripre4so dall'immane
    > > figura di merda su Minix? che ti sia di
    > > lezione.
    >
    > Vedi povero coglione, per poter tacciare qualcuno
    > di figura di merda occorre prima di tutto essere
    > identificabili.
    >
    > E se qualcuno, per non far capire agli altri che
    > e' un coglione, si nasconde dietro a tre puntini,
    > puo' solo dire di essere
    > coglione.
    >
    > Tu che cosa sei?

    io sono un coglione, chiaro no? Newbie, inesperto
    non+autenticato
  • - Scritto da: panda rossa
    > > ah, Panda, ti sei gia' ripre4so dall'immane
    > > figura di merda su Minix? che ti sia di
    > > lezione.
    >
    > Vedi povero coglione, per poter tacciare qualcuno
    > di figura di merda occorre prima di tutto essere
    > identificabili.

    Al contrario, è chi fa la figura di merda che deve essere identificabile, altrimenti non puoi ricordarglielo ogni volta! Rotola dal ridere
    non+autenticato
  • ... oppure ripristina la visualizzazione delle estensioni.