Document From Dolores von [email protected]
Am Freitag, den 11. August 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Öffnen Sie nicht die Anlage! In dem beigefügten ZIP-Archiv ist die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) enthalten.
Betreff: Document From Dolores
Absender: [email protected]Dear Customer,
Thank you for your recent order, please find attached your invoice.
All goods are supplied subject to our standard terms and conditions,
a copy of which is available on request.Thank you once again for your order, we look forward to serving you again
in the future.Yours faithfully,
Dolores
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage! Die E-Mail kommt mit verschiedenen Vornamen und E-Mail-Adressen.
Als Anlage enthält die E-Mail eine .doc – Datei (Microsoft Word), die z. B. „I-839.doc“ genannt wurde. Achtung: Die Word – Datei enthält ein Makro, welches eine bösartige Datei nachlädt und ausführt! Öffnen Sie daher nicht die Word – Datei!
Sicherheitswarnung
Makros wurden deaktiviert
Inhalt aktivieren
Von der Internetadresse
- campuslinne.com/JbhbUsfs
wird eine ausführbare Datei nachgeladen, die z. B. als „agraba8.exe“ gespeichert wird. Virustotal zeigt eine Erkennungsrate von 21/64. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware). Dieser beginnt u. U. noch nicht sofort mit der Verschlüsselung der Dateien, daher fällt die Infektion u. U. erst später auf.
Die aktuelle „Locky“-Version benennt alle Dateien in *.diabolo6 um:
Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:
diabolo6.bmp
diabolo6.htm
Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:
=$|=_=-_$
=-$=+=$$ $. +=-
=_ _= -|_a-.+.*|+
|*.+|*$!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_StandardDecrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the addressabar: g46mbrrzpfszonuk.onion/*****
4. Follow the instructions on the site.!!! Your personal identification ID: ****** !!!
=_|_=-._+
=.|+*.|==+*.-|_
+$-_-.*_= _==.=+ ++
_|+=_- .+_-*==|
Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die diabolo6.bmp – Datei aus:
Die verlinkte Internetseite zeigt im TOR-Browser folgende Erpressung:
