Un nuovo ransomware si aggira tra le email in lingua tedesca, un malware soprannominato Ordinypt che in realtà simula il comportamento di un codice cripta-file procedendo invece alla cancellazione dei dati degli utenti . Ordinypt è insomma un wiper , una minaccia pericolosa che per ragioni ignote vuole passare da ransomware anche dopo aver distrutto i file del sistema infetto.
Scoperto inizialmente da Michael Gillespie , Ordinypt è stato poi analizzato da un analista di G Data (Karsten Hahn) che ne ha identificato l’origine: il wiper arriva sotto forma di allegato di un’email scritta in tedesco, con un file ZIP che dovrebbe contenere un curriculum compilato nella stessa lingua.
In realtà l’archivio include due eseguibili camuffati da documenti PDF – un trucco usato da tempo grazie alla politica di Microsoft di disabilitare la visualizzazione delle estensioni dei file nella configurazione di default.
Lanciando uno di questi file si manda in esecuzione il wiper, che procede quindi a sovrascrivere i file dell’utente con combinazioni casuali di numeri e lettere (maiuscole e minuscole). Al posto dei file originali vengono creati doppioni fasulli con un nome creato a partire dallo stesso algoritmo di sovrascrittura, e in ogni cartella viene posizionato un file HTML contenente una nota di riscatto tipica dei ransomware .
Mai come in questo caso, però, le informazioni incluse nel documento non hanno alcuna utilità pratica: gli indirizzi Bitcoin forniti sono selezionati casualmente da un elenco di 101 portafogli virtuali, e i creatori del malware non sembrano interessati a fornire istruzioni chiare su come contattarli per “ripristinare” dati che sono andati irrimediabilmente distrutti.
Come già fatto da NotPetya questa estate, insomma, Ordinypt ha come unico scopo quello di danneggiare i sistemi infetti, mentre la lingua utilizzata e il metodo di propagazione sembrano indicare che il bersaglio dei cyber-criminali siano soltanto le aziende tedesche .
Alfonso Maruccia