Ransomware ‚Locky‘ verschlüsselt in *.lukitus: Fax from: (01242) 862705 von Free Fax to Email (freefaxtoemail@Domain)
Am Dienstag, den 2. August 2017 bzw. Mittwoch, den 23. August 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Öffnen Sie nicht die Anlage! Das beigefügte RAR-Archiv enthält ein Script, welches die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nachlädt.
Betreff: Fax from: (01242) 862705
Absender: Free Fax to Email (freefaxtoemail@Domain)Free Fax to Email logo
You Have Received a Fax
Dear Fax Customer,
A fax has been received on your Free Fax to Email number. You will find the fax attached to this email.
Here are the details of the fax:
Date/Time of Fax: Tue, 22 Aug 2017 15:42:09 -0600
Message Transaction ID: 1639928399_7_850
Received From: (01242) 862705
Fax Filename: Fax3895404cd330fea.tif (1 page)Did you know we also provide SMS services? Send bulk SMS text messages via web interface or REST API from just 3p. For more information see www.telecoms.cloud/sms
Don’t forget, you can also view and download past faxes from your Fax Inbox in your account on our web site. To do this, please login at www.freefaxtoemail.net using your username and password. If you would like to change the email address that your faxes get delivered to, please login to your account and click the Change link next to your email address.
Upgrade your Free Fax to Email account to a fully-featured fax account with Crosby Fax today and enjoy half-price fax sending, telephone technical support, enhanced security options and a choice of fax number types – or bring your existing physical fax number to us and save on line rental. See https://www.freefaxtoemail.net/upgrade.html for more details and to upgrade.
Please do not reply to this email directly as it is sent from an unmonitored email address which does not accept incoming messages.
If you have any questions or encounter any problems logging in, please visit our support pages at http://support.freefaxtoemail.net/ or you may call us on 0333 220 5004. All calls are recorded for quality and training purposes. Technical support via email or our support system is free.
Please note: When recording phone calls with any of our services, please remember to read the relevant legislation for your jurisdiction to ensure that you are recording legally.
Thank you,
The Telecoms Cloud team.
Free Fax to Email runs on the Telecoms Cloud platform.
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage! Der Name des „Fax to Email“ – Dienstes wird für die Verteilung von Ransomware missbraucht!
Die E-Mail bringt ein RAR-Archiv mit, welches ein JavaScript (*.js) enthält.
Fax3895404cd330fea.rar
Fax7536697535e7662.rar
Fax9180451717bfe2a.rarFax1912121jaa9bb7f.js
Fax2908852u4fd52cc.js
Fax6760021xfcded34.js
Das JavaScript beginnt in etwa so:
Auch wenn nach der Ausführung eine Fehlermeldung angezeigt wird, so lädt das Script dennoch den Trojaner nach:
Windows Script Host
Error opening file (CODE:256)
Öffnen Sie nicht die RAR-Datei und führen Sie das Script nicht aus! Von den Internetadressen
- grossklos.de/REjhb54??IjkWoQVtTD=IjkWoQVtTD
- goldlinegreetings.com/REjhb54??Bdlisnuozcf=Bdlisnuozcf
- greenmanshop.co.uk/REjhb54??RWiqgIyW=RWiqgIyW
wird eine ausführbare Datei nachgeladen:
Bdlisnuozcf2.exe
IjkWoQVtTD2.exe
RWiqgIyW2.exe
Virustotal zeigt eine Erkennungsrate von 1/59. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware). Dieser beginnt u. U. noch nicht sofort mit der Verschlüsselung der Dateien, daher fällt die Infektion u. U. erst später auf.
Die aktuelle „Locky“-Version benennt alle Dateien in *.lukitus um:
Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:
lukitus.bmp
lukitus.htm
Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:
.$-=
.|=$$-$!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:1. Laden Sie einene Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: g46mbrrzpfszonuk.onion/*****
4. Folgend Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!
=*|$|+|-c=…_ |.-+
Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die lukitus.bmp – Datei aus:
Die verlinkte Internetseite zeigt im TOR-Browser folgende Erpressung: