Invoice FEB-(8stellige Zahl) von Accounting Specialist
Am Freitag, den 19. Februar 2016 wurde durch unbekannte Dritte am Nachmittag die folgende E-Mail in englischer Sprache versendet:
Good morning,
Please see the attached invoice and remit payment according to the terms listed at the bottom of the invoice.
If you have any questions please let us know.Thank you!
Cesar Hogan
Accounting Specialist
Die in der E-Mail genannten Namen wechseln. Sie lauten z. B.
- Angelo Battle
- Brian Carter
- Cathleen Vega
- Cesar Hogan
- Charity Best
- Clarence Hester
- Clarence Rosario
- Deirdre Bond
- Gary Oneil
- Glen Allison
- Ila Patton
- Letitia Wynn
- Irvin Watson
- Juana Calhoun
- Kaitlin Cummings
- Krista Parker
- Lucien Bolton
- Martin Ortega
- Maude Trevino
- Myles Henson
- Shawn Wilkerson
- Valerie Aguilar
- u.v.m.
Als angeblicher Absender wurden die in der E-Mail genannten Namen mit unterschiedlichen Domains verwendet.
In der Anlage ist eine Word-Datei enthalten, die per Makro die Verschlüsselungs- und Erpressungssoftware „Locky“ von einer deutschen Domain lädt, dort aus dem Verzeichnis „/5/5.exe“. Auf dem PC wird die Datei als „fail.exe“ abgelegt. Laut Virustotal liegt die Erkennungsrate per 21.02. bei 35/55.
Sobald die Verschlüsselung der Dateien beendet ist, wird sowohl eine Textdatei wie auch ein Bild geöffnet, welche auf die Verschlüsselung der Dateien hinweisen und zur Zahlung eines Geldbetrages für eine Entschlüsselung auffordern:
!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://twbers4hmi6dx65f.tor2web.org/xxxxxxxxxxxxxxxx
2. http://twbers4hmi6dx65f.onion.to/xxxxxxxxxxxxxxxx
3. http://twbers4hmi6dx65f.onion.cab/xxxxxxxxxxxxxxxxSollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: twbers4hmi6dx65f.onion/xxxxxxxxxxxxxxxx
4. Folgen Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: xxxxxxxxxxxxxxxx !!!
Die in der Nachricht genannten Internetseiten zeigen eine Geldforderung in Bitcoin. Die im folgenden Screenshot geforderten 0,5 Bitcoin entsprechen am 19. Februar 2016 einer Forderung von etwa 200 Euro:
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät von der Bezahlung ab, da eine Entschlüsselung nicht garantiert werden kann.
Ist der Rechner bereits befallen, rät das BSI davon ab, auf die Lösegeldforderungen einzugehen, denn die Dateien oder Programme werden in vielen Fällen trotz Bezahlung nicht entschlüsselt. Stattdessen sollten betroffene Nutzer den Bildschirm samt Erpressungsnachricht fotografieren und bei der Polizei Anzeige erstatten. Anschließend hilft meist nur ein komplettes Neuaufsetzen und Aufspielen eines Daten-Backups.
[Quelle: bsi-fuer-buerger.de]