Unpaid Invoice #350
Am Freitag, den 19. Februar 2016 wurde in den Abendstunden durch unbekannte Dritte die folgende E-Mails in englischer Sprache versendet:
Please see attached letter and a copy of the original invoice.
Als Absender der E-Mail waren u. a.
- admin
- payments
Der E-Mail war eine zip-Datei nach dem Muster RG(12stellige Zahl)-SIG.zip beigefügt, die ein JavaScript (.js) enthält. Das JavaScript hat den Verschlüsselungs- und Erpressungstrojaner „Locky“ aus dem Verzeichnis „/system/logs/56y4g45gh45h“ einer vietnamesischen Domain geladen und auf dem PC als „1aTt2x1a.scr“ gespeichert. Virustotal zeigt per 21.02. eine Erkennungsrate von 32/54.
Sowohl vom Dateinamen und -typ der E-Mail-Anlage wie auch vom Verzeichnisnamen, aus dem der Trojaner geladen wird, ist diese E-Mail identisch zur gefälschten Rechnung Nr. 2016_131 der LFW Ludwigsluster Fleisch- und Wurstspezialitäten GmbH & Co. KG
Per 21.02. wird der Trojaner zwar immer noch geladen, er verschlüsselt derzeit aber nicht die Festplatte (der Ordner in der Registry wird zwar angelegt, bleibt aber leer).