Receipt of payment
Am Donnerstag, den 22. September 2016 wurden durch unbekannte Dritte die folgenden E-Mails in englischer Sprache versendet:
Good afternoon,
Thank you for you call this afternoon.
Please find attached your receipt of payment.
If you need anything else please feel free to contact me on the details below.
Kind regards.
Eldridge puckey
Credit Controller
IB GIBL Credit ControlArthur J. Gallagher
BUSINESS WITHOUT BARRIERS7th Floor Spectrum Building
55 Blythswood Street | Glasgow | G2 7AT
Direct: 0141 233 3164
[email protected]
www.ajginternational.com
Die E-Mails mit dem Betreff „Receipt of payment“ sind gefälscht. Die darin genannte Firma hat mit der E-Mail nichts zu tun!
Als Anlage kommen Dateien wie z. B. „(#14834912) Receipt.zip“ (wobei die Nummer in jeder E-Mail unterschiedlich ist). Im ZIP-Archiv befindet sich eine .hta-Datei wie z. B. BEHJ1625.hta oder BR3GKE4017.hta.
Von verschiedenen Domains wird der Verschlüsselungs- und Erpressungstrojaner „Locky“ nachgeladen, der als .dll-Datei auf dem System abgelegt wird (z. B. BsTVXmdKk1.dll, CgCVQtT1.dll u.v.m.)
- abdulqadirmahar.com/746t3fg3
- accentofficefurniture.co.nz/746t3fg3
- afzalbaloch.comli.com/746t3fg3
- agaoglu-mytown.com/746t3fg3
- cardimax.com.ph/746t3fg3
- deftr.com/746t3fg3
- graybowolson.com/746t3fg3
- grimkonde.net/746t3fg3
- hrx.net.au/746t3fg3
- infosunsystem.com/746t3fg3
- lsnsoft.info/746t3fg3
- micaraland.com/746t3fg3
- muhammadyunus.org/746t3fg3
- myownindia.com/746t3fg3
- pvtltdregistration.com/746t3fg3
- ringspo.com/746t3fg3
- tvorbis.com.mk/746t3fg3
- venussystems.in/746t3fg3
- www.bujod.in/746t3fg3
- www.e-media.in/746t3fg3
Virustotal zeigt eine Erkennungsrate von 10/57.
Nach der Verschlüsselung werden die typischen Hinweise angezeigt: