Ordinypt – szkodliwy program, który niszczy pliki

Zazwyczaj szkodliwym programem, który wymaga od użytkownika opłaty za ponowny dostęp do plików jest ransomware. Jego celem jest zaszyfrowanie danych na urządzeniu użytkownika, a następnie żądanie pieniędzy za klucz deszyfrujący. Osoby, które nie wykonały wcześniej kopii zapasowej, a u których nie było programu zabezpieczającego lub nie wykrył zagrożenia prawidłowo, mają spory problem. Więcej o ransomware i jego możliwościach przeczytacie w innym wpisie poświęconemu temu zagadnieniu.

Tymczasem jak donosi portal Bleeping Computer[1], komputery niemieckich użytkowników od kilku dni atakowane są złośliwym oprogramowaniem, które rozprzestrzenia się poprzez phishing, a którego celem jest „wyczyszczenie” dysku z danych. Jak to często bywa ze szkodnikami, z czasem są one dostosowywane do innych rynków i ataki mogą rozprzestrzeniać się także w innych krajach. Warto mieć to na uwadze.

Maile wyglądają jak odpowiedzi na ogłoszenia o pracę i zawierają w załączniku plik ZIP oraz zdjęcie kandydatki:

Źródło: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-intentionally-destroys-files-currently-targeting-germany/
Źródło: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-intentionally-destroys-files-currently-targeting-germany/

Po rozpakowaniu okazuje się, że w rzeczywistości nie jest to PDF, ale plik wykonywalny EXE z ikoną, która ma zmylić użytkownika, że ma do czynienia z dokumentem.

Źródło: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-intentionally-destroys-files-currently-targeting-germany/
Źródło: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-intentionally-destroys-files-currently-targeting-germany/

Mimo, że po uruchomieniu szkodnika ofiara traci dostęp do swoich danych, Ordinypt nie jest typem ransomware, lecz programem trwale usuwającym oryginalne pliki. Jak widać na poniższym zrzucie ekranu, w miejsce usuniętych, tworzone są nowe pliki, a ich nazwy przypominają te stosowane przez ransomware. Ma to na celu jedynie zmylenie ofiary i przekonanie, że dane można odzyskać po opłaceniu klucza deszyfrujacego. W rzeczywistości utworzone przez Ordinypt pliki to losowe znaki.

Źródło: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-intentionally-destroys-files-currently-targeting-germany/
Źródło: https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-intentionally-destroys-files-currently-targeting-germany/

O tym, że szkodnik ten został stworzony w celu umyślnego wykasowania danych może świadczyć fakt, że użytkownik nawet po zapłaceniu 0,12 Bitcoina (około 3000 zł), nie ma możliwości potwierdzenia płatności i skontaktowania się z atakującym w jakikolwiek sposób.

Bez względu na to czy szkodliwe oprogramowanie szyfruje dane, czy też je usuwa, zawsze warto regularnie robić kopie zapasowe wszystkich plików oraz całego systemu. Warto też zwrócić uwagę na fakt, że w ostatnim czasie Microsoft dostarczył narzędzie, które nie pozwala na modyfikowanie wybranych folderów, tym samym ułatwiając walkę ze złośliwym oprogramowaniem.

[1] https://www.bleepingcomputer.com/news/security/ordinypt-ransomware-intentionally-destroys-files-currently-targeting-germany/