O malware Ordinypt usa uma nova campanha de spam e tem como alvo empresas alemãs

Ordinypt Nos últimos dias, muitas empresas em Alemanha enfrentar um nova campanha de spam. Uma mulher chamada “Eva Richter” envia um e-mail dizendo que está interessada em um emprego. O email contém uma foto e seu currículo. De fato, o currículo é um executável, disfarçado de arquivo PDF, projetado para destruir os arquivos da vítima instalando o Ordinypt Wiper.

Ordinypt é um malware que aparece como ransomware (enquanto não estiver). Ele exige resgate das vítimas para descriptografar seus arquivos, mas mesmo que os usuários paguem, seus arquivos não podem ser descriptografados.

Segundo informações, a campanha de spam começou em 11 de setembro de 2019.

Como mencionado acima, o alvo dos golpistas (pelo menos por enquanto) são as empresas alemãs. Eva Richter envia e-mails O email contém uma foto de uma mulher, supostamente Eva Richter, e um arquivo zip chamado “Eva Richter Bewerbung und Lebenslauf.zip”, que deveria ser seu currículo.

O texto do email de spam em alemão é:

Se a vítima abrir o arquivo com o suposto currículo, Ordinypt começará a criptografar arquivos do computador.

Ordinypt

Destruição de arquivos

O malware Ordinypt começa a destruir arquivos no computador da vítima. Além do que, além do mais, exclui backups e desativa o ambiente de recuperação do Windows 10.

Quando o processo é concluído, uma nota aparece em cada pasta (_how_to_decrypt.txt), que guia a vítima e explica como ir para uma Site Tor e como pagar o resgaterecuperar seus arquivos.

A maioria das vítimas da campanha de spam relatou a quantidade solicitada pelos hackers. Em todos os casos, o valor era o mesmo, 0,1473766 BTC, ou cerca de US $ 1.518,92.

Ordinypt

Como o Ordinypt não é ransomware, as vítimas não devem pagar o resgate porque não receberão seus dados.

Em alguns casos, o Ordinypt não excluiu os backups; portanto, as vítimas puderam recuperar seus arquivos das cópias de volume de sombra.