Bill overdue
Am Donnerstag, den 27. Oktober 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Betreff: Bill overdue
This is from the Telephone Company to remind you that your bill is overdue.
Please see the attached bill for the fine charge.
Die englische E-Mail bringt ein .zip-Archiv mit, welches z. B. „detailed_bill_6b08a04.zip“ heißt. Darin enthalten ist ein Script mit dem Namen „detailed bill 29B38DE.vbs“.
Das Script lädt von der Domain dadaniu.cn/o1ws9s eine Datei und speichert diese als .dll-Datei auf dem Computer (z. B. „bGZkKb8tlvQuFa.dll“). Es handelt sich hierbei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 27/56.
Nach der Verschlüsselung nimmt der Trojaner noch mit 91.230.211.150/linuxsucks.php Kontakt auf. Alle Dateien werden bei der Verschlüsselung in .thor umbenannt. Außerdem erscheint ein Hinweis sowohl als Grafik wie auch als Internetseite:
