Re: credit memos
Am Mittwoch, den 11. Mai 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
hello (Empfänger),
You may refer to the attached document for details.
Regards,
Brady Gould
Der E-Mail mit dem Betreff „Re: credit memos“ ist eine Datei „credit memos_B2F0B2.zip“ beigefügt, die ein JavaScript enthält. Damit der bösartige Code zum Nachladen nicht direkt ins Auge fällt, ist im JavaScript sowohl am Anfang wie auch am Ende ein langer Kommentar beigefügt worden:
Das Script lädt eine .exe-Datei aus der URL shoppingdepot.com.au/jwue7ud und legt gleichzeitig eine .bat-Datei an (suckit.bat), die diese .exe-Datei ausführen soll.
Bei der nachgeladenen .exe-Datei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner Locky. Virustotal zeigt eine Erkennungsrate von 13/56.
?$_*=~_+|
!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://hw5qrh6fxv2tnaqn.tor2web.org/***
2. http://hw5qrh6fxv2tnaqn.onion.to/***
3. http://hw5qrh6fxv2tnaqn.onion.cab/***Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: hw5qrh6fxv2tnaqn.onion/***
4. Folgen Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: *** !!!
*=+**_+=*~
=._–.