Emailing: IMG_20171221_958301596, IMG_20171221_118496937, IMG_20171221_166889494_HDR von Lee (Lee@Deine Domain) bringt den Verschlüsselungs- und Erpressungstrojaner ‚GlobeImposter‘ und verschlüsselt nach *..doc!
Am Donnerstag, den 21. Dezember 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Öffnen Sie nicht das .7z-Archiv und führen Sie das darin enthaltene JavaScript (.js) nicht aus! Die Ransomware „GlobeImposter“ (Verschlüsselungs- und Epressungstrojaner) würde Ihren PC sonst verschlüsseln!
Betreff: Emailing: IMG_20171221_958301596, IMG_20171221_118496937, IMG_20171221_166889494_HDR
Absender: Lee (Lee@Deine Domain)Your message is ready to be sent with the following file or link
attachments:IMG_20171221_958301596
IMG_20171221_118496937
IMG_20171221_166889494_HDRNote: To protect against computer viruses, e-mail programs may prevent
sending or receiving certain types of file attachments. Check your e-mail
security settings to determine how attachments are handled.
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht die Anlage!
Die E-Mail bringt ein .7z-Archiv mit, welches ein .js-Script enthält:
IMG_20171221_958301596.7z
IMG_20171221_736254251.js
Das Script fängt so an:
Führen Sie das Script nicht aus! Von der Adresse
- www.soslavanderia.com.co/PuaneYDG??MOHaPawoTR=MOHaPawoTR
würde eine ausführbare Datei nachgeladen!
Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „GlobeImposter“ (Ransomware). Virustotal zeigt eine Erkennungsrate von 13/66.
Die Ransomware beginnt sofort damit, alle wichtigen Dateien in *.doc umzubenennen:
Daneben produziert „GlobeImposer“ eine Datei, die auf die Verschlüsselung hinweist:
Read___ME.html
Auf dem Desktop sind selbst die Links verschlüsselt:
Die „Read___ME.html“ zeigt folgenden Inhalt:
Your files are Encrypted!
For data recovery needs decryptor.
If you want to buy a decryptor click „Buy Decryptor“
Buy Decryptor
If not working, click again.
Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.If you can not contact, follow these two steps:
1. Install the TOP Browser from this link: torproject.org
2. Open this link in the TOP browser: http://n224ezvhg4sgyamb.onion/sup.php
Die verlinkte TOR-Seite ist zeitweise nicht erreichbar. Daher kommt sowohl im Browser, wie auch im TOR-Browser eine Fehlermeldung.
Wie die Erpressung aussieht, sehen Sie über die alten Warnungen:
- Voicemail from 01581289024 3m 41s von ServVoIP (voicemailandfax@Deine Domain) bringt die Ransomware ‚GlobeImposter‘!
- Voice Message from Outside Caller (3m 11s) von Voice Message (voivemsg25@Deine Domain) bringt den Verschlüsselungs- und Erpressungstrojaner ‚GlobeImposter‘!