It might be difficult to put Ordinypt virus in some category of viruses, however, we feel like it should be categorised as a ransomware. Yet, it is not a typical ransomware infection. Usually ransomware just locks your files and asks for a ransom in order to unlock them. In this case, Ordinypt pretends encrypt your files but in reality it deletes them straight away, so there is no way back.
It was discovered by Karsten Hahn, cyber security researcher, a couple days ago. This post on Twitter is a good proof that Ordinypt virus is imply wiping out data:
In the picture above you can see folder affected by Ordinypt virus and data changes as a result. While some users on the online forums are joking that it can be used as a free HDD cleanup tool, users that actually experienced this virus are not laughing at all.
Ordinypt targeting Germany
It might also be referred to as HSDFSDCrypt, however, the name was later changed to Ordinypt. It is clear that Ordinypt virus is targeted to Germany because it is distributed using email letters. Those letters are written in a clean German language. They are crafted to look like a legitimate responses to various job ads online. Each letter features two attached files – resume and CV. Sounds logical, right? However, as soon as someone opens one of those files, the computer gets infected. Files are named as ‘Viktoria Henschel – Bewerbungsfoto.jpg’ and ‘Viktoria Henschel – Bewerbungsunterlagen.zip’. Original text of the email in German:
Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre bei der Arbeitsagentur ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.
Mit freundlichen Grüßen,
Viktoria Henschel
Translated Spam:
Dear Sir or Madam,
Enclosed you will receive my application for your job advertised at the Employment Agency. Please see my detailed and attached application documents for the reasons why I am able to fill the vacant position optimally and that your experience has many advantages for your company.
I’m glad if I can introduce myself once again.
Best regards,
Viktoria Henschel
Once inside, Ordinypt virus pretends to ‘encrypt’ files stored on a computer by adding unique and random extension of 14 letters and numbers. However, it can’t encrypt them and instead of that it just removes them. A new file, so called ransom note is placed in every affected folder. Here is original text of the ransom note:
Ihre Dateien wurden verschlüsselt!
Sehr geehrte Damen und Herren,
Wie Sie mit Sicherheit bereits festgestellt haben, wurden alle Ihre Dateien verschlüsselt.
Wie erhalte ich Zugriff auf meine Dateien?
Um Ihre Dateien erfolgreich zu entschlüsseln, benötigen Sie unsere Spezielle Software und den dazugehörigen Decrypt-Key.
Wo bekomme ich die Software?
Die Entschlüsselungs-Software können Sie bei uns erwerben.
Der Preis für die Entschlüsselungs-Software beläuft sich auf 0.12 Bitcoin (ca. 600 Euro).Bitte beachten Sie, dass wir ausschließlich Bitcoin für den Erwerb der Software akzeptieren.
Wo bekomme ich Bitcoin?
Bitcoin können Sie Online sowie Offline erwerben, eine Liste empfohlener Anbieter folgt:
https://www.bitcoin.de/de/ – Online
https://localbitcoins.com/ – Online / Offline
https://btcdirect.eu/de-at – Online
https://www.virwox.com – Online
ZahlungsanweisungenBitte transferieren Sie exakt 0.12 Bitcoin an folgende Addresse: 14DeorRVAaqEeLugPHhcHdejyEAL26gdpx
Nach erfolgreichem Zahlungseingang erhalten Sie automatisch die Entschlüsselungs-Software sowie den dazugehörigen Decrypt-Key.
ACHTUNG!
Sollten wir innerhalb von 7 Tagen keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie kein Interesse an der Entschlüsselung Ihrer Dateien haben. In diesem Fall löschen wir den Decrypt-Key unwiderruflich und Ihre Dateien sind für immer verloren.
Ihre Dateien wurden mit einem 256-Bit AES Algorithmus auf Militärqualität verschlüsselt. Wir empfehlen Ihnen keine Zeit mit eigenhändigen Entschlüsselungsversuchen zu verschwenden, dies würde Sie nur unnötig Zeit und weiteres Geld kosten, Ihre Dateien wären aber weiterhin verschlüsselt.
Bonus
Zusätzlich zur Entschlüsselungs-Software erhalten Sie nach erfolgreicher Zahlung, hinweise wie die Schadsoftware auf Ihre System gelangen konnte und wie Sie sich in Zukunft vor weiteren Übergriffen schützen können!
It is clear that hackers behind Ordinypt virus are just looking to make easy money by trying to trick users. First of all, this infection doesn’t feature any list of ID’s that can be used to identify the computer when it is infected. Secondly, ransomware usually provides users with some e-mail address that can be contacted regarding any questions of paying the ransom and Ordinypt lacks this feature as well.
Unfortunately, it is not possible to decrypt files, because they are not encrypted – some of them are just deleted, without any signs of encryption. If you have a backup copy of your hard drive, you can restore your files using it and following our system restore guide.
Nonetheless, you should immediately remove all files associated to this malware. It can be a real struggle to do it manually, therefore we recommend to get yourself a decent anti-malware tool, such as Spyhunter. Either one of them should be able to automatically detect and remove the virus in no time.
Automatic Malware removal tools
(Win)
Note: Spyhunter trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: Combo Cleaner trial provides detection of parasites and assists in their removal for free. limited trial available, Terms of use, Privacy Policy, Uninstall Instructions, Refund Policy ,