unauthorized access
Am Donnerstag, den 10. November 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Betreff: unauthorized access
Our technical support service has detected unauthorized access to your account.
Due to that, we had to block your account until you confirm your personal information.
To do so, please follow the instructions in the attachment.Best Regards,
Lesley Blanchard
Technical Support
Achtung: Es handelt sich um eine betrügerische E-Mail! Sie lädt den Verschlüsselungs- und Erpressungstrojaner „Locky“ nach! Öffnen Sie daher nicht die Anlage!
Die E-Mail bringt eine Anlage im .zip-Format mit. Diese lautet „account_(Empfängername).zip“. Im .zip-Archiv ist ein JavaScript, welches z. B. wie folgt lautet:
- -QF88U85C9H0-.js
- -M0WO9E4B220-.js
Das JavaScript lädt von verschiedenen Domains eine Datei nach:
- globaldoctors.asia/lzsyu
- activedd.net/jwajv6c
- cussocrane.net/6rpdgx88
- bj-fzwb.com/jl19nc
- droolunkin.net/68ebze29
- g2cteknoloji.com/vrirs
- dalezohak.com/5icsxofi
- crapevadim.net/5rnyr6
- gruppoeslabon.com.ph/uxm7f6
- geist.fr/uizvqih
Die nachgeladene Datei wird als .dll-Datei auf dem Computer gespeichert (z. B. „vkezpNBS9lax0.dll“). Hierbei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“, der alle Dateien verschlüsselt und in .thor umbenennt.
Danach wird ein Hinweis auf die Verschlüsselung angezeigt:
