Transaction declined
Am Dienstag, den 01. November 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Betreff: Transaction declined
Dear (Empfänger),
This is to inform that the transaction you made yesterday is declined.
Please look through the attachment for the verification of the card details.
Best Regards,
Wilburn Sargent
Die englische E-Mail kommt mit einem .zip-Archiv wie z. B. „transaction-details_a6ecba99c.zip“. Dieses Archiv enthält eine .vbs-Datei wie z. B. „tracking number 45913CF0 PDF.vbs“.
Das Script lädt von unterschiedlichen Domains eine Datei nach wie z. B.
- exploreph.com/ogyse8
- crossfitgladstone.com/orfx8
- 17173wang.com/f6w0p
- sonsytaint.com/0dqj0dd
- artuning.ch/na426
Die nachgeladene Datei wird als .dll-Datei auf dem Computer gespeichert. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 12/56.