Copy of Invoice 2373 von Customer Service ([email protected])

Am Mittwoch, den 23. August 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Öffnen Sie nicht den Link! Statt bisher als Anlagen wird die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nun über Links verteilt.

Betreff: Copy of Invoice 2373
Absender: Customer Service ([email protected])

 

Please download file containing your order information.

If you have any further questions regarding your invoice, please call Customer Service.

Please do not reply directly to this automatically generated e-mail message.

Thank you.
Customer Service Department

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht den Link! Die E-Mail täuscht eine Sprachnotiz vor. Statt bisher als Dateianlage (*.zip, *.rar, *.doc, *.7z) wird ein Link in die E-Mail eingefügt.

Die E-Mail kommt mit unterschiedlichen Links:

  • hairdesign-sw.de/download.html
  • gruporoados.com/download.html
  • gunterarnold-furniture.com/download.html
  • guitardisaster.com/download.html
  • handbuecher-online.de/download.html

Die Links würden von drommazxitnnd7gsl.com/af/download.php eine „invoice.vbs“ – Datei laden:

 

invoice.vbs

Das Script beginnt in etwa so:

Öffnen Sie nicht das ZIP-Archiv und führen Sie das Script nicht aus! Von der Internetadresse

  • grlarquitectura.com/TrnbGVH

wird eine ausführbare Datei nachgeladen:

YBRcIfYBSY.exe

Laut Virustotal liegt die Erkennungsrate bei 21/64! Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware). Dieser beginnt u. U. noch nicht sofort mit der Verschlüsselung der Dateien, daher fällt die Infektion u. U. erst später auf.

Die aktuelle „Locky“-Version benennt alle Dateien in *.lukitus um:

 

Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:

lukitus.bmp

lukitus.htm

Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:

.$-=
.|=$$-$

!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:

1. Laden Sie einene Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: g46mbrrzpfszonuk.onion/*****
4. Folgend Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!

=*|$|+|-c=…_ |.-+

 

Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die lukitus.bmp – Datei aus:

 

Die verlinkte Internetseite zeigt im TOR-Browser folgende Erpressung:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert