ИБ-специалист Майкл Гиллеспи первым обратил внимание на вымогательскую программу Ordinypt после того, как один из пострадавших от шифровальщика опубликовал сведения об этом вредоносном ПО на ID-Ransomware. Чуть позже эксперты из G Data получили в свое распоряжение образец вымогательской программы, провели его анализ и выяснили, что Ordinypt атакует, прежде всего, немецких пользователей. На немецком языке написаны письма, содержащие вымогательскую программу, и уведомления с требованием выкупа.
Как и в случае Petya, распространение Ordinypt осуществляется посредством резюме, присланных компаниям, открывающим вакансии. В такие письма обычно вложено изображение соискателя в формате JPG и архив ZIP, якобы содержащее резюме. В действительности в архиве находятся два EXE-файла, замаскированных под PDF-документы.
Также код вредоносной программы изучил реверс-инженер Филип Макенсен. Он пришел к выводу, что Ordinypt является не шифровальщиком, а вайпером.
Как утверждает эксперт, вредоносная программа вовсе не шифрует информацию, а заменяет данные на случайные комбинации символов и удаляет оригинальные версии файлов. По мнению Макенсена, Ordinypt маскируется под шифровальщик, чтобы ввести пользователей в заблуждение, однако настоящей целью создателей малвари является уничтожение информации.
Такой же алгоритм, используемый для внедрения в файлы случайного набора из букв и цифр, применяется для создания имен якобы зашифрованных объектов. Примечательно, что злоумышленники не стараются сильно маскировать активность Ordinypt. Так, после окончания процесса псевдошифрования новые файлы чаще всего имеют объем, который вдвое меньше, чем у оригинальных документов.
Ordinypt связан с кошельками криптовалюты, куда операторы вредоносных программ требуют перечислить деньги. В уведомлении с требованием выкупа нет каких-либо контактов операторов вредоносной программы, а также никаких идентификаторов, которые вымогатели обычно присваивают жертвам. Также выяснилось, что биткоин-адреса, упоминаемые в таких сообщениях, выбираются случайно специальным JavaScript-сценарием из 101 кошелька, записанного в исходном коде Ordinypt.
Специалисты считают, что создатели Ordinypt ведут целенаправленную киберкампанию для саботажа работы ряда компаний в Германии. Хакеры не заинтересованы в финансовой выгоде. Они пытаются вывести из строя максимальное количество машин и уничтожают информацию специально.