{
	"id": "80f719a8-fed0-4615-bbab-b3b916415318",
	"created_at": "2026-04-06T00:18:30.399398Z",
	"updated_at": "2026-04-10T03:20:18.071632Z",
	"deleted_at": null,
	"sha1_hash": "7d42b419cbd48db4ac73c427ec6e56bdf646c5c1",
	"title": "Ordinypt hat es auf Benutzer aus Deutschland abgesehen",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 257330,
	"plain_text": "Ordinypt hat es auf Benutzer aus Deutschland abgesehen\r\nBy Tim Berghoff, Karsten Hahn\r\nPublished: 2024-11-14 · Archived: 2026-04-05 19:04:39 UTC\r\n07.11.2017\r\nLesezeit: 3 min (679 Wörter)\r\nDie Ransomware \"Ordinypt\" (auch bekannt unter dem wenig handlichen Namen „HSDFSDCrypt“) befällt derzeit\r\nhautpsächlich Benutzer aus Deutschland. Unter der Haube hat sie einige Merkmale, die herausstechen. G DATA-Analyst Karsten Hahn hat einen genaueren Blick auf die Ransomware geworfen.\r\nDurch Ordinypt verschlüsselte Dateien\r\nAuffällig ist zunächst einmal, dass Ordinypt in einer für Ransomware unüblichen Programmiersprache verfasst ist\r\n(Delphi). Die Daten werden wie bei jeder Ransomware verschlüsselt, die Dateinamen scheinbar zufällig gewählt.\r\nIn den Dateien selbst werden die verschlüsselten Daten noch einmal kodiert (in base64); warum das so ist und\r\nwelchen Zweck die Macher damit verfolgen, ist zum gegenwärtigen Zeitpunkt noch unklar. \r\nAuch sonst erscheint Ordinypt auffällig unauffällig – es gibt keine Anzeichen für einen beabsichtigten\r\nWiedererkennungswert. Der Schädling setzt stattdessen auf Effizienz.  \r\nhttps://www.gdata.de/blog/2017/11/30151-ordinypt\r\nPage 1 of 3\n\nBesonders erwähnenswert ist die Erpressernachricht – sie ist in 100% fehlerfreiem Deutsch verfasst. Man kann\r\ndavon ausgehen, dass der Verfasser des Textes ein Muttersprachler ist. Auffällig ist auch, dass in der\r\nErpressernachricht ein Stück Programmcode versteckt ist, der jedes mal eine neue Bitcoin-Adresse generiert, an\r\ndie eine Lösegeldzahlung gesendet werden soll. Bisher konnten wir dieses Verhalten noch bei keiner anderen\r\nRansomware entdecken. Zweck dieser Vorgehensweise ist möglicherweise, die Verfolgung von Zahlungsströmen\r\ndurch Strafverfolgungsbehörden zu erschweren. Anhand einer der E-Mails, in denen die Schadsoftware versteckt\r\nwar, könnten Personalabteilungen ein erklärtes Ziel sein, wie seinerzeit bei Petya. \r\nGenau wie viele andere Schadprogramme wird auch Ordinypt als PDF-Datei getarnt per E-Mail-Anhang verteilt.  \r\nG DATA - Kunden sind geschützt\r\nDie Schadsoftware wird unter dem Namen Win32.Trojan-Ransom.Ordinypt.A erkannt.\r\nDer Anhang, in dem HSDFSDCrypt verschickt wird, hat die Signatur Archive.Malware.FakeExt.N@susp.\r\nDetails für Forscherkollegen\r\nE-Mail: b7cb3160025a0bbdcd453a9be490a9e7b1d9505b4f290355e82a6965d0c9e5e4\r\nE-Mail-Attachment (zip): d4e66191e4e8fc22986efc4a84247f3810e969b89a7c331550960e32c278cad3\r\nSample EXE: 085256b114079911b64f5826165f85a28a2a4ddc2ce0d935fa8545651ce5ab09\r\nUpdate (8. November, 14:30) - Der Schein kann trügen\r\nNach weiteren Analysen steht nun fest, dass Ordinypt mehr ist als nur eine weitere Ransomware. Dateien, die\r\naugenscheinlich verschlüsselt wurden, sind nach Abschluss des Prozesses quasi \"leer\". Damit hat Ordinypt sich als\r\neine Kombination aus Ransomware und einem \"Wiper\" (engl. wipe: auslöschen) entpuppt. Ein Testordner, der mit\r\nBildern im JPG-Format gefüllt war, hat nach der \"Verschlüsselung\" plötzlich nur noch einen Bruchteil der\r\nursprünglichen Größe. \r\nWer also das Lösegeld gezahlt hat, in der Hoffnung, seine Daten wiederzubekommen, wird feststellen, dass die\r\nDaten tatsächlich unwiederbringlich verloren sind. \r\nhttps://www.gdata.de/blog/2017/11/30151-ordinypt\r\nPage 2 of 3\n\nLinks der Ordner mit den Originaldateien, rechts der Ordner mit den \"verschlüsselten\" Dateien\r\nFolgende Artikel könnten Sie auch interessieren:\r\nArtikel teilen\r\n Wichtige IT-Security-News per E-Mail\r\nAktuelle IT-Gefahren\r\nSchutz-Tipps für Privatkunden\r\n15 % Willkommensgutschein\r\nSource: https://www.gdata.de/blog/2017/11/30151-ordinypt\r\nhttps://www.gdata.de/blog/2017/11/30151-ordinypt\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.gdata.de/blog/2017/11/30151-ordinypt"
	],
	"report_names": [
		"30151-ordinypt"
	],
	"threat_actors": [],
	"ts_created_at": 1775434710,
	"ts_updated_at": 1775791218,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/7d42b419cbd48db4ac73c427ec6e56bdf646c5c1.pdf",
		"text": "https://archive.orkl.eu/7d42b419cbd48db4ac73c427ec6e56bdf646c5c1.txt",
		"img": "https://archive.orkl.eu/7d42b419cbd48db4ac73c427ec6e56bdf646c5c1.jpg"
	}
}