office equipment
Am Freitag, den 26. August 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear (Benutzername),
Please sign the attached purchase of the office equipment. We will send you back the receipt afterward.
Best regards,
Bret Ewing
Sales Manager
Die E-Mail mit dem Betreff „office equipment“ bringt eine .zip – Datei mit (z. B. 9fd72d6522.zip). Darin enthalten ist ein Javascript, welches z. B. office_equipment ~df41e0f4.js lautet.
Das JavaScript lädt von unterschiedlichen Domains eine Datei nach:
- wolmo.homepage.t-online.de/8xa8i
- realm-of-rage.heimat.eu/ut1s5
- policyforlife.com/jilwbdfy
- sopranolady7.wang/2ictp
- essenciadoequilibrio.net/slfhspe
Auf dem Computer wird diese mit der Dateiendung .dll abgespeichert (wie z. B. kDn2xVvpHz.dll) und zur Ausführung gebracht. Dabei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 24/56.