Parcel no. 72638714698
Am Donnerstag, den 03. November 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Betreff: Parcel no. 72638714698
Dear (Empfänger). Your Parcel no. 72638714698 is shipped out on 03/11/2016 and estimated to arrive on 05/11/2016.
Please see the attached parcel details for more information.
King Regards,
Tracey Short
Worldwide Parcel Service
Die angebliche Lieferbestätigung bringt ein .zip-Archiv mit dem Namen „parcel_5eb282d2.zip“ mit (die Zahlen/Buchstaben am Ende des Dateinamen sind unterschiedlich). Darin enthalten sind zwei .vbs-Dateien:
- ZN540EC.vbs
- ZN540EC (copy).vbs
(die Namen sind ebenfalls unterschiedlich, es befindet sich aber immer eine zweite Datei mit dem Zusatz (copy) im .zip-Archiv).
Von unterschiedlichen Domains soll eine Datei nachgeladen werden:
- 15yb.com/okf7x
- americanfancies.com/puk3j
- anamose.com/02g6e0
- baraderoteinforma.com.ar/ck3xw
- bj-fzwb.com/um7o7b
- bontimon.net/0hyb2u2
- bontimon.net/37b1ovd7
- bontimon.net/7p53hzq
- edthemes.org/o8ynlbr
- farbdruck24.de/wlrpkxo2
- finalmileadvertising.com/xvv1i1q
- geppert.ca/uzdihur
- goodonelax.com/xdnhv6h
- grafskiespb.ru/zlisrlka
- habitatotel.com/v8xn3cie
- hnztech.com/x9cnxo
- huacocatti.com/2ryys1b9
- huacocatti.com/645r0
- kiddypecos.com/0loobu3
- kiddypecos.com/3gnlo
- reactivetargetsports.com/wge4tehy
- vairscrat.com/a01rd
- w3hostingserver.com/a9yhjg11
- yasuragi-group.com/wfpau91j
Es dürfte sich auch hierbei um den Verschlüsselungs- und Erpressungstrojaner „Locky“ handeln.