contact information

Am Mittwoch, den 05. Oktober 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20161005_contact_informatio

Betreff: contact information

Please visit the client tomorrow from the contact information attached.

Make sure you get there on time.
Best regards,
Angelita Santiago

Die englische E-Mail behauptet, in der Anlage würden sich Kontaktdaten (eine Visitenkarte) befinden. Das stimmt aber nicht. Auch wenn die Buchstaben „vcf“ im Dateinamen enthalten sind, so endet der Dateiname immer noch auf „.zip“. Daher ist es keine Visitenkarte, sondern ein ZIP-Archiv.

Die Dateinamen lauten z. B.

  • contact_vcf_a8622132.zip
  • contact_vcf_7521af90c.zip

Im ZIP-Archiv sind jeweils zwei Dateien enthalten wie z. B.

  • contact_vcf_9BD65F16.wsf
  • contact_vcf_CC68F.wsf
  • L
  • S

Die .wsf-Dateien laden von unterschiedlichen Domains eine Datei nach:

  • rimpro.ru/r8695d
  • vr-speed.com/rw5u4ija
  • amhartufa.net/3fkuq

Diese wird als .dll-Datei auf dem Computer abgelegt:

  • 7oLMIJJr.dll
  • oTw5Pnta82NG.dll

Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 10/56.

 

 

Das gleiche Verhalten / die gleiche Ransomware haben zuletzt auch die folgenden E-Mails mitgebracht:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert