Fax transmission: F-7239362134-1487469271-201611024847-6996.zip von FAX Service ([email protected])

Am Mittwoch, den 02. November 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20161102_fax_transmission

Betreff: Fax transmission: F-7239362134-1487469271-201611024847-6996.zip
Absender: FAX Service ([email protected])

Please find attached to this email a facsimile transmission we
have just received on your behalf

(Do not reply to this email as any reply will not be read by
a real person)

Die E-Mail gibt vor, als Anlage sei ein Telefax beigefügt. Das stimmt aber nicht! In dem .zip-Archiv mit dem Namen „F-7239362134-1487469271-201611024847-6996.zip“ ist kein Telefax, sondern ein JavaScript („3658849946-1335564207-201611004129-1643.js“) enthalten, welches von der Domain discuzshop.com/kjg56f7?sacBcbL=cKCdns eine Datei nachlädt und als .dll-Datei auf dem Computer abspeichert (z. B. „qqbkpJwRE1.dll“).

Hierbei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 32/56.

Bei der Verschlüsselung werden viele Dateien in .thor umbenannt. Außerdem wird ein Hinweis auf die Verschlüsselung sowohl als Internetseite wie auch als Bild geöffnet:

20161103_locky_html

20161103_locky_bmp

 

Die Erpressung sieht dann wie folgt aus:

20161103_locky_web

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert