Scan von Bonita ([email protected])
Neben der betrügerischen E-Mail-Welle „Copy_9413, Document_30859, PDF_340585, File_9782281, Scan_5924 bringen die Ransomware ‚GlobeImposter‘!“ wurden am Freitag, den 29. Dezember 2017 auch folgende betrügerische E-Mails verbreitet:
Betreff: Scan
Absender: Bonita ([email protected])—
Thanks & Regards
Bonita Bostin (F&A)
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht die Anlage! Die E-Mail kommt von unterschiedlichen Adressen. Die angeblichen Absender haben mit der E-Mail nichts zu tun!
Die E-Mail bringt ein .7z-Archiv mit, welches teilweise ein .js-Script und teilweise ein .vbs-Script enthält:
Scan_00436.7z
Scan_006982.7z
Scan_007566.js
Scan_001230.vbs
Das JavaScript beginnt so:
Und das .vbs-Script beginnt so:
Beide Scripte laden unterschiedliche Dateien nach. Während eines der beiden Scripte von der Domain highlandfamily.org/JKHhgdf72? und grindelwald.ferienimboden.com/JKHhgdf72? eine Datei nachladen soll, würde das andere Script von der Domain damynghedunglinh.com/YoepHGds??nsKERIt=nsKERIt eine Datei nachladen.
Es ist zu vermuten, dass beide E-Mails die Ransomware „GlobeImposter“ verbreiten sollten (siehe dazu auch „Copy_9413, Document_30859, PDF_340585, File_9782281, Scan_5924 bringen die Ransomware ‚GlobeImposter‘!“)