Today’s fax von Deiner Domain an Dich
Am Montag, den 22. August 2016 wurde durch unbekannte Dritte die folgende E-Mail mit einem englischen Betreff versendet:
Die E-Mail mit dem Betreff „Today’s fax“ wurde angeblich von einem Benutzer der eigenen Domain versendet. Die Nachricht hat keinen Inhalt. Eine Word-Datei mit den Dateinamen wie z. B.
- IMG_6725.DOCM
- FAX_6318.DOCM
- DOC_5384.DOCM
- SCAN_1500.DOCM
ist beigefügt (wobei die 4stellige Zahl pro E-Mail unterschiedlich ist). In dem leeren Word-Dokument ist ein Makro enthalten, welches von diversen Domains den Verschlüsselungs- und Erpressungstrojaner „Locky“ nachlädt:
- aide-villages-togo.fr/HfgfvhTR5
- akasylberlin.de/HfgfvhTR5
- jandoerrenhaus.de/HfgfvhTR5
- jmriba.endoterapiavegetal.com/HfgfvhTR5
- koksi.cba.pl/HfgfvhTR5
- luckyanja.50webs.com/HfgfvhTR5
- moriyamaseikotuin.web.fc2.com/HfgfvhTR5
- ofcoursesports.web.fc2.com/HfgfvhTR5
- raptorbobo.go.ro/HfgfvhTR5
- satnew.rew.pl/HfgfvhTR5
- seiwa1202.web.fc2.com/HfgfvhTR5
- tatakiage.web.fc2.com/HfgfvhTR5
- w0662mb5g.homepage.t-online.de/HfgfvhTR5
- webtestde.grafi-offshore.com/HfgfvhTR5
- www.c-ambergreen.com/HfgfvhTR5
- www.christianfasselt.de/HfgfvhTR5
- www.comefri.es/HfgfvhTR5
- www.terlizzigasimpianti.it/HfgfvhTR5
Die Datei wird zunächst als „dirbadu“ bzw. danach als „axilans.exe“ auf dem Computer gespeichert. Virustotal zeigt eine Erkennungsrate von 4/54. Viele Dateien werden bei der Verschlüsselung in .zepto umbenannt.
Nach der Verschlüsselung wird die bereits bekannte Nachricht angezeigt:
a) als Bilddatei (.bmp)
b) als Internetseite (.html)
?+*.$ *$=|
!!! WICHTIGE INFORMATIONEN !!!!Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm, welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://5n7y4yihirccftc5.tor2web.org/****
2. http://5n7y4yihirccftc5.onion.to/****Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: 5n7y4yihirccftc5.onion/****
4. Folgen Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: **** !!!
=-|||*+||_$
+_=_-+++e$+$.=-+
*_|||$–||+++$+|+-_
Die verlinkten Seiten zeigen eine Erpressung von 2 BitCoin an: