**S** FL-450182 11.30.2017 von Invoicing ([email protected]) bringt die Ransomware ‚GlobeImposter‘ und verschlüsselt nach *.doc

Kommentar hinterlassen

Am Donnerstag, den 30. November 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Öffnen Sie nicht die Anlage! Das .7z-Archiv enthält ein .vbs-Script, welches die Ransomware „GlobeImposter“ (Verschlüsselungs- und Epressungstrojaner) nachlädt.

Betreff: **S** FL-450182 11.30.2017
Absender: Invoicing ([email protected])

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage! Die E-Mail kommt mit unterschiedlichen Absendernamen.

Die E-Mail bringt ein .7z – Archiv mit, welches ein .vbs-Script enthält:

FL-450182 11.30.2017.7z
FL-557965.vbs

Öffnen Sie nicht das .7z – Archiv und führen Sie das Script nicht aus! Von der Internetadresse

  • bit-chasers.com/JHGcd476334?

wird eine ausführbare Datei nachgeladen:

JHGcd476334.exe

Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „GlobeImposter“ (Ransomware). Virustotal zeigt eine Erkennungsrate von 22/67.

 

Die Ransomware beginnt sofort damit, alle wichtigen Dateien in *.doc umzubenennen:

desktop.ini..doc
Microsoft Access Datenbank (neu).accdb..doc
Microsoft Excel-Arbeitsblatt (neu).xlsx..doc
Microsoft PowerPoint-Präsentation (neu).pptx..doc
Microsoft Publisher-Dokument (neu).pub..doc
Neuer ZIP-komprimierter Ordner.zip..doc
Neuer TAR-komprimierter Ordner.tar..doc

 

Daneben produziert „GlobeImposer“ eine Datei, die auf die Verschlüsselung hinweist:

Read___ME.html

 

Die „Read___ME.html“ zeigt folgenden Inhalt:

Your files are Encrypted!

For data recovery needs decryptor.

If you want to buy a decryptor click „Buy Decryptor“

Buy Decryptor

If not working, click again.

Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.
To send a message or file use this link.
Support

If you can not contact, follow these two steps:
1. Install the TOP Browser from this link: torproject.org
2. Open this link in the TOP browser: http://n224ezvhg4sgyamb.onion/sup.php

Die verlinkte TOR-Seite sieht wie folgt aus und verweist wieder nur auf eine Internet-Seite:

SUPPORT
Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.
To send a message or file use this link.

https://supp7.freshdesk.com/support/tickets/new

Ironischer Weise verschlüsselt der Trojaner aber auch die TOR-Installation, d. h. selbst bei zuvor installiertem TOR-Browser müsste man TOR erst wieder neu installieren, um die Seite zu sehen:

 

Die verlinkte Internetseite sieht wie folgt aus und zeigt nur ein Kontaktformular:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert