Unpaid Invoice #211660
Am Montag, den 07. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear Valued Customer,
Please make sure you send payment for your parcel to avoid any inconvenience. Open the attached file to review the confirmation listing.
Sincerely,Ladonna Wilkins
Courier Service
Als Absender werden unterschiedliche Namen verwendet. Hier einige Beispiele:
- Adeline Patterson
- Alexandra Harper
- Amado Campbell
- Bianca Hurley
- Cecilia Guy
- Darren Gilmore
- Deborah Elliott
- Deborah Estrada
- Eddie Lucas
- Faye Rowland
- Jeanne Lloyd
- Ladonna Wilkins
- Lindsay Singleton
- Mamie Curtis
- Marla Edwards
- Millie Burris
- Murray Jacobson
- Raymundo Becker
- Robin Beasley
- Rolf Bright
- Rosella Byrd
- Sophie Tanner
- Tessa Adkins
- Tricia Valdez
- Virgie Campos
- Wilfred Whitaker
Der E-Mail ist ein .zip – Archiv beigefügt, welches eine .js – Datei enthält (letter.(9stellige Zahl).js, email.(9stellige Zahl).js oder accent.(9stellige Zahl).js). Aus unterschiedlichen Seiten wird der Verschlüsselungs- und Erpressungstrojaner Locky geladen und zur Ausführung gebracht. Auf dem Computer wird die ausführbare Datei zunächst als ajaxPrefilter.scr, attachEvent.scr, clientX.scr, colgroup.scr, cssExpand.scr, DOMParser.scr, each.scr, emptyStyle.scr, fire.scr, first.scr, getClass.scr, getter.scr, iframe.scr, invert.scr, modified.scr, offsetHeight.scr, oldCallbacks.scr, overwritten.scr, pseudos.scr, removeChild.scr, replaceWith.scr, rreturn.scrn oder rscriptType.scr abgelegt.
Einige der zum Nachladen verwendeten URLs sind identisch mit der E-Mail „Shipping Information – Your Order #957-3301“ vom Vormittag.