Outstanding invoices email 1 of 2 von J.Taylard ([email protected])
Am Donnerstag, den 17. August 2017 wurde durch unbekannte Dritte auch die folgende betrügerische E-Mail versendet. Öffnen Sie nicht die Anlage! Das beigefügte Microsoft Word – Dokument enthält ein Makro, welches die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nachlädt.
Betreff: Outstanding invoices email 1 of 2
Absender: J.Taylard ([email protected])
Hi
Further to our conversation, there are four aged invoices outstanding.
Please can you look at these and provide an update regarding payment.
Thank you.
J.Taylard
Achtung: Es handelt sich um eine betrügerische E-Mail! Die E-Mail kommt von unterschiedlichen Adressen mit unterschiedlichen Namen. Öffnen Sie nicht die Anlage!
Die E-Mail bringt ein Microsoft Word – Dokument mit, welches eine Zahl als Dateinamen trägt:
335792.doc
419015.doc
550234.doc
219578.doc
Das Word – Dokument ist im Prinzip leer, es enthält nur ein bösartiges Makro:
Sicherheitswarnung
Makros wurden deaktiviert.
Inhalt aktivieren
Öffnen Sie nicht das Word – Dokument und führen Sie das Makro nicht aus! Das Makro lädt von den Internetadressen
- calster.be/87wifhFsdf
- shiftspace.ro/87wifhFsdf
- campingtossa.com/87wifhFsdf
eine ausführbare Datei nach:
agraba8.exe
Virustotal zeigt eine Erkennungsrate von 26/64. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware). Dieser beginnt u. U. noch nicht sofort mit der Verschlüsselung der Dateien, daher fällt die Infektion u. U. erst später auf.
Die aktuelle „Locky“-Version benennt alle Dateien in *.lukitus um:
Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:
lukitus.bmp
lukitus.htm
Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:
|_=_ =||
*-++|||*.–.=$__$
+-+-.-
** _.-.-_*=.*_$=-*!!! IMPORTANT INFORMATION !!!!All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_StandardDecrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successsful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/*****
4. Follow the instructions on the site.!!! Your personal identification ID: ******* !!!
*$+–**-_
_+*.-..+c|$*-*
_…=|.=. |
Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die lukitus.bmp – Datei aus:
Die verlinkte Internetseite zeigt im TOR-Browser folgende Erpressung:
