Rechnung Nr. 2016_131 der LFW Ludwigsluster Fleisch- und Wurstspezialitäten GmbH & Co. KG
Am Freitag, den 19. Februar 2016 wurde durch unbekannte Dritte zwischen 10 und 12 Uhr die folgende gefälschte E-Mail versendet:
Sehr geehrte Damen und Herren,
bitte korrigieren Sie auch bei der Rechnung im Anhang den Adressaten:
LFW Ludwigsluster Fleisch- und Wurstspezialitäten
GmbH & Co.KGVielen Dank!
Mit freundlichen Grüßen
Anke Füldner
Finanzbuchhaltung
Tel.: 03874-422038
Fax: 03874-4220844
E-Mail: [email protected]
Als angeblicher Absender der E-Mail wurden Adressen wie fueldner(2-3 Zeichen)@lfw-ludwigslust.de verwendet, wobei die E-Mail über diverse IP-Adressen versendet wurde.
In der Anlage mit den Namen RG(12 Zahlen)-SIG.zip ist ein JavaScript (.js) enthalten, welches den Verschlüsselungs- und Erpressungstrojaner „Locky“ aus dem Verzeichnis „/system/logs/56y4g45gh45h“ einer amerikanischen Domain lädt. Die Datei wird als „Wra8N0wz.scr“ auf dem PC abgelegt. Virustotal zeigt per 21.02. eine Erkennungsrate von 32/54.
Die LFW Ludwigsluster Fleisch- und Wurstspezialitäten GmbH & Co.KG warnt auf ihren Internetseiten ebenfalls vor dieser E-Mail:
Aus gegebenen Anlass möchten wir Sie darauf hinweisen, dass in unserem Namen E-Mails versendet und Sie gebeten werden, bspw. Adressdaten in einer Rechnung im Anhang zu korrigieren.
Diese E-Mail enthält außerdem eine zip-Datei.! DIESE E-MAILS STAMMEN NICHT VON UNS !
Bitte löschen Sie diese E-Mails und öffnen Sie in keinem Fall den Anhang!
Auch wenn nach dem Öffnen der Datei nichts zu sehen ist, bedeutet das nicht gleichzeitig, dass der PC nicht infiziert ist. Am 20. und 21. Februar konnte der Trojaner immer noch geladen werden, er hat das System aber nicht mehr verschlüsselt. Der Trojaner versucht diverse Internetadressen zu erreichen. Es ist davon auszugehen, dass er bei einem erfolgreichen Kontakt die Verschlüsselung nachholt.
Sowohl vom Muster des Dateinamen und -typ der E-Mail-Anlage wie auch vom Verzeichnis, aus dem er den Trojaner nachlädt ist der Trojaner identisch zur Unpaid Invoice #350 vom Abend des 19.02.2016.
Zu dieser E-Mail gibt es inzwischen auch einen Artikel auf heise.de:
Neue Masche: Krypto-Trojaner Locky über Javascript-Dateien verbreitet
Wie Sie sich schützen können oder was Sie im Fall einer Infektion tun sollten, das verrät Ihnen der Ratgeber Internetkriminalität der Polizei Niedersachsen.