Attention Required

Nachdem die Ransomware „Locky“ (Verschlüsselungs- und Erpressungstrojaner) heute früh bereits Dateien nach „.zzzzz“ umbenannt hat, verschlüsselt er die Dateien mit dieser E-Mail vom Donnerstag, den 24. November 2016 wieder in „.aesir“.

20161124_attention_required

Betreff: Attention Required

Dear (Empfänger), our HR Department told us they haven’t received the receipt you’d promised to send them.
Fines may apply from the third party. We are sending you the details in the attachment.

Please check it out when possible.

Die E-Mail kommt mit einem .zip-Archiv als Anlage. Im Dateinamen ist der Empfängername (der Teil vor dem @-Zeichen enthalten) wie z. B. „receipt_(Empfänger).zip“.

Das ZIP-Archiv enthält ein JavaScript z. B. mit dem Namen „7V9M7ELHP0420HK.js“. Dieses lädt von verschiedenen Domains eine Datei nach

  • facerecognition.com.ba/tzoc3
  • 4006600592.com/rqk0umu
  • joelbodhi.com/r94yyaty
  • wilson.ro/gghar9s
  • orantpamir.net/rtss2coyh

und speichert sie als .dll-Datei (z. B. ZDpv3toE5N.dll) auf dem Computer ab. Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 26/56.

Der Trojaner verschlüsselt viele Dateien und nennt diese in „.aesir“ um. Danach zeigt er die bekannten Hinweise an:

20161124_locky2_bmp

20161124_locky2_html

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert