bills
Am Mittwoch, den 11. Mai 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
hello (Empfänger)
Attached please find the bills report for your review
Thank you.Regards,
Demetrius Edwards
Die E-Mail mit dem Betreff „bills“ von Demetrius Edwards bringt eine Anlage „bills_2F57B6.zip“ mit. Darin enthalten ist ein JavaScript, was zunächst ähnlich lange Kommentare wie die E-Mails „Re: inventory adjustments“ und „Re: credit memos“ enthält (diesmal sind zu Beginn aber Befehle zu sehen und statt
/* ccccccccccccccccccccccccccccccccccccccccccccccc
lautet der Kommentar diesmal
/* ddddddddddddddddddddddddddddddddddddddddd
Nach dem Ausführen wird – wie bei den beiden anderen E-Mails eine .bat-Datei angelegt, die eine von supremecouture.co.uk/tyh2fe nachgeladene .exe-Datei ausführen soll. Diesmal wird der Dateiname um das Datum ergänzt: suc11.05.2016kit.bat:
Nachgeladen wird der Verschlüsselungs- und Erpressungstrojaner Locky. Virustotal zeigt eine Erkennungsrate von 21/56.
Im Gegensatz zu anderen Infektionen werden nur noch zwei Links angezeigt (der Link auf onion.cab fehlt). Außerdem lässt sich die HTML-Drohung nicht mehr kopieren, da diverse nicht sichtbare Befehle eingestreut werden:
<h2>
!!!
<font class=’udkrrmev‘> </font>
<div class=znzbp>ihyrarvh</div>
WICHTIGE
<font class=’udkrrmev‘>a</font>
<font id=’kgctnbfngz‘>INFORMATIONEN
<font class=’udkrrmev‘> </font>
!!!!
</h2>
<br /><br />
Alle
<font class=’udkrrmev‘> </font>
<div class=znzbp>qzcix</div>
Dateien
<font class=’udkrrmev‘>c</font>
wurden
<font class=’udkrrmev‘>e</font>
mit
<font class=’udkrrmev‘>e</font>
RSA-2048
<font class=’udkrrmev‘> </font>
<font class=’hstlzhabl‘ id=’nvamogcu‘>
<div class=znzbp>qiafzt</div>
und
<font class=’udkrrmev‘>a</font>
<font>
AES-128
Die Links zeigen die typische Forderung von 0,5 BitCoin:
