paycheck
Am Dienstag, den 30. August 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Hey (Benutzer), as you requested, attached is the paycheck for your next month’s salary in advance.
Sincerely yours,
John Cameron
Die E-Mail mit dem Betreff „paycheck“ bringt eine Anlage im .zip – Format mit (z. B. 0fc74eb1fc.zip). Darin enthalten ist ein JavaScript (.js, z. B. paycheck_pdf_ee04f19b.js).
Über Domains wie z. B.
- www.plastimonza.com/xdz53g
wird der Verschlüsselungs- und Erpressungstrojaner „Locky“ nachgeladen und als .dll – Datei auf dem Computer abgespeichert / ausgeführt (z. B. KpSWmrHUP6lH88.dll oder 9rC8NeUZyndeaJh.dll). Virustotal zeigt eine Erkennungsrate von 20/56.