Document From Dolores von [email protected]

Am Freitag, den 11. August 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Öffnen Sie nicht die Anlage! In dem beigefügten ZIP-Archiv ist die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) enthalten.

Betreff: Document From Dolores
Absender: [email protected]

Dear Customer,

Thank you for your recent order, please find attached your invoice.

All goods are supplied subject to our standard terms and conditions,
a copy of which is available on request.

Thank you once again for your order, we look forward to serving you again
in the future.

Yours faithfully,

Dolores

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage! Die E-Mail kommt mit verschiedenen Vornamen und E-Mail-Adressen.

Als Anlage enthält die E-Mail eine .doc – Datei (Microsoft Word), die z. B. „I-839.doc“ genannt wurde. Achtung: Die Word – Datei enthält ein Makro, welches eine bösartige Datei nachlädt und ausführt! Öffnen Sie daher nicht die Word – Datei!

Sicherheitswarnung
Makros wurden deaktiviert
Inhalt aktivieren

Von der Internetadresse

  • campuslinne.com/JbhbUsfs

wird eine ausführbare Datei nachgeladen, die z. B. als „agraba8.exe“ gespeichert wird. Virustotal zeigt eine Erkennungsrate von 21/64. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware). Dieser beginnt u. U. noch nicht sofort mit der Verschlüsselung der Dateien, daher fällt die Infektion u. U. erst später auf.

Die aktuelle „Locky“-Version benennt alle Dateien in *.diabolo6 um:

 

Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:

diabolo6.bmp

diabolo6.htm

Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:

=$|=_=-_$
=-$=+=$$ $. +=-
=_ _= -|_a-.+.*|+
|*.+|*$

!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the addressabar: g46mbrrzpfszonuk.onion/*****
4. Follow the instructions on the site.

!!! Your personal identification ID: ****** !!!
=_|_=-._+
=.|+*.|==+*.-|_
+$-_-.*_= _==.=+ ++
_|+=_- .+_-*==|

 

Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die diabolo6.bmp – Datei aus:

 

Die verlinkte Internetseite zeigt im TOR-Browser folgende Erpressung:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert