Order 38775608 (Acknowledgement)

Am Donnerstag, den 03. November 2016 wurden durch unbekannte Dritte die folgenden E-Mails in englischer Sprache versendet:

20161103_order_acknowledgement

Betreff: Order 38775608 (Acknowledgement)

Please find document attached

Die E-Mail kommt mit unterschiedlichen Nummern im Betreff und ganz unterschiedlichen Absendernamen / -adressen. Es ist immer ein .zip-Archiv beigefügt, welches unterschiedliche Dateinamen hat:

  • Tz4919511.zip
  • Rt12371.zip
  • qvQ73142387.zip
  • ZExOr4218974.zip
  • ru2891567.zip
  • Ve0311742.zip
  • ObhiWxM42846850.zip
  • WXGrE6603249.zip
  • mfZzj24349.zip
  • FE1721656.zip
  • pCbC38775608.zip

Die Archive enthalten eine .vbs-Datei:

  • byExo9682-0006.vbs
  • iSfcj728-3333.vbs
  • xMzCU4574-23107.vbs
  • RbgaS4023-28117.vbs
  • TWHgEa8387-0932.vbs
  • efqHc4628-1138.vbs
  • DzvfL8411-12138.vbs
  • whGUM1098-3139.vbs
  • rCKXIU6354-3563.vbs
  • ELWPQN1306-2116.vbs
  • nDGQE4261-01116.vbs

Das Script lädt von unterschiedlichen Domains eine Datei:

  • casadalocacao.com/i9jnrc
  • belusadba.ru/i9jnrc
  • almaks-mr.ru/i9jnrc
  • carbonfiber.ro/i9jnrc
  • awaelschool.com/i9jnrc
  • coachatelier.nl/i9jnrc
  • christophflueck.ch/i9jnrc
  • agorarestaurant.ro/i9jnrc
  • dornovametoda.sk/i9jnrc
  • bogaziciradyo.com/i9jnrc
  • edu-net.ro/i9jnrc
  • albakrawe-uae.com/i9jnrc
  • chandrphen.com/i9jnrc

Diese Datei wird mit der Endung .44 auf dem System gespeichert. Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 15/55.

Bei der Verschlüsselung werden viele Dateien in .thor umbenannt. Außerdem wird ein Hinweis auf die Verschlüsselung sowohl als Internetseite wie auch als Bild geöffnet:

20161103_locky_html

20161103_locky_bmp

 

Die Erpressung sieht dann wie folgt aus:

20161103_locky_web

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert