Aktion gegen Botnetz „Avalanche“ doch erfolgreich? Unbeglichene Rechnung 16.12.2016 Nummer 13498873 von Rechnungsstelle GiroPay AG ([email protected]) kommt mit falschem Datum
Nach der Zerschlagung des Botnetzes „Avalanche“ durch die Zentrale Kriminalinspektion Lüneburg und die Staatsanwaltschaft Verden (in Zusammenarbeit mit den Sicherheitsbehörden diverser Staaten) sollte es die folgende E-Mail eigentlich nicht mehr geben.
Bereits am Donnerstag, den 15. Dezember 2016 waren entsprechende E-Mails aber wieder aufgetaucht („Rechnung für (Vorname Nachname) noch offen: Nummer 38971661 von Beauftragter Rechtsanwalt Online24 Pay GmbH ([email protected]) oder (Vorname Nachname) Ihre Rechnung zur Bestellung NR015643465 von Rechnungsstelle OnlinePayment AG ([email protected])“), die zumindest einen der genannten Trojaner verbreiten (Trojan.Nymaim bzw. Trojan/Win32.Nymaim oder Win32/TrojanDownloader.Nymaim.BA).
In der am Mittwoch, den 21. Dezember 2016 durch unbekannte Dritte versendeten E-Mail stimmt das bisher verwendete aktuelle Datum aber nicht:
Betreff: Unbeglichene Rechnung 16.12.2016 Nummer 13498873
Absender: Rechnungsstelle GiroPay AG ([email protected])Sehr geehrte(r) (Vorname Nachname),
leider mussten wir feststellen, dass die Erinnerung ID 134988734 bis jetzt ohne Reaktion Ihrerseits blieb. Jetzt geben wir Ihnen damit letztmalig die Möglichkeit, den nicht gedeckten Betrag unseren Mandanten GiroPay AG zu decken.
Aufgrund des bestehenden Zahlungsverzug sind Sie verpflichtet zuzüglich, die durch unsere Beauftragung entstandene Gebühren von 91,48 Euro zu bezahlen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den fälligen Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 15.12.2016.
Wir erwarten die vollständige Zahlung bis spätestens 20.12.2016 auf unser Konto. Können wird bis zum genannten Datum keine Überweisung einsehen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen müssen.
Vertragliche Personalien:
(Vorname Nachname)
(Straße und Haus-Nr.)
(PLZ und Wohnort)Tel. (Festnetz- oder Handy-Nr.)
Eine vollständige Kostenaufstellung Nr. 134988734, der Sie alle Einzelpositionen entnehmen können, ist beigefügt.
Mit freundlichen Grüßen
Rechnungsstelle Benedikt Reichlich
Die betrügerische E-Mail behauptet, eine Rechnung vom 16.12. sei nicht bezahlt worden und man hätte bis 20.12. Zeit, die Rechnung zu begleichen. Die E-Mail ist aber erst am 21.12. versendet worden, da wäre eine Zahlung demnach ja in jedem Fall zu spät!
Bisher wurde in diesen E-Mails immer das aktuelle Datum (oder der Vortag) als Rechnungsdatum und das Zahlungsziel ein paar Tage später verwendet. Dennoch würde die Anlage der E-Mail den Computer infizieren und diverse Dateien nachladen.
Meldung nach der Infektion:
Beispiel der Dateien, die nachgeladen werden:
- digipot-5.exe (Virustotal zeigt eine Erkennungsrate von 5/55)
- evkit-0.exe (Virustotal zeigt eine Erkennungsrate von 7/54)
- gigabit-22.exe (Virustotal zeigt eine Erkennungsrate von 7/56)
- molality-60.exe (Virustotal zeigt eine Erkennungsrate von 8/55)
Achtung: Das Trojanische Pferd wird versuchen, Ihnen nach der Anmeldung zum Online-Banking aufgrund einer angeblichen Fehlgutschrift des Finanzamtes einen Geldbetrag zu klauen. Wie das aussieht, sehen Sie in der Warnung vom 15.12.2016 (Nach Zerschlagung der Botnetz-Infrastruktur Avalanche am 01.12.2016: Trojaner „Nymaim“ wird u. a. über Rechnung für (Vorname Nachname) noch offen: Nummer 38971661 von Beauftragter Rechtsanwalt Online24 Pay GmbH ([email protected]) oder (Vorname Nachname) Ihre Rechnung zur Bestellung NR015643465 von Rechnungsstelle OnlinePayment AG ([email protected]) wieder verteilt).
Was tue ich wenn ich so eine E-Mail erhalten habe und versucht habe den Anhang versucht habe zu öffnen da dies eine ZIP- Datei war gelang die nicht.
Wolltest Du nur die erste .zip-Datei aufmachen und das ging nicht? Dann wäre ja nichts passiert. Wenn Du aber auch die .com-Datei aufmachen wolltest und dann ggf. noch der Hinweis kam, das PDF könnte nicht angezeigt werden, dann ist der Rechner infiziert.
Kannst Du Dir im Explorer alle Dateien (also auch versteckte Dateien) anzeigen lassen? Schaue mal im ProgramData-, Roaming- und Temp-Verzeichnis, ob da neue Verzeichnisse und Dateien sind (wenn Du die Dateien als Detailübersicht und dann nach Änderungsdatum absteigend sortiert anzeigen lässt, siehst Du auf den ersten Blick die neuesten Dateien). Sind da Dateien mit Endungen, die Du üder nicht kennst oder neue Verzeichnisse mit ausführbaren Dateien, die einen Namen ähnlich dem Beispiel in diesem Beitrag und einer Zahl (der Dateiname zeigt oftmals eine andere Zahl als der Verzeichnisname) enthält? Dann wäre der Rechner vermutlich mit dem Trojaner infiziert.