Corporate Direct (Europe) Ltd Invoice/Credit Note Attached der Mercateo AG

Am Freitag, den 26.02.2016 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet:

20160226_corporate_direct_ltd_invoice

Sehr geehrte Damen und Herren,

anbei senden wir Ihnen eine Zahlungserinnerung mit der Bitte um Ausgleich Ihres Kundenkontos.

Sie finden Ihre Rechnungen in Form einer MS-Word-Datei jederzeit in Ihrem Bestellarchiv.

Bei Rückfragen geben Sie bitte Ihre Kundennummer an.

Mit freundlichen Grüßen
Ihr Mercateo-Serviceteam
Hartmut Kraus

 

 

Als Absender werden unterschiedliche Namen angezeigt. Beispiele:

  • Hartmut Kraus
  • Hartmut Heinrich
  • Simon Busch
  • Dieter Stein
  • Erich Zimmermann

 

In der E-Mail ist die Mercateo AG genannt, die in ihrem Internetauftritt inzwischen vor diesen E-Mails warnt:

20160226_corporate_direct_warnung

 

Der E-Mail ist eine Datei mit der Endung .zip beigefügt. Diese lässt sich aber nicht öffnen.

Im Text der Nachricht steht, dass es eine Word-Datei in einem .zip-Archiv ist. Genau genommen handelt es sich aber bei der .zip-Datei bereits um das Word-Dokument.

Nach dem Öffnen mit Microsoft Word wird ein Makro ausgeführt, was zunächst eine „tyfhkasdsd.bat“ mit der URL zum Nachladen des Trojaners erzeugt. Die „DSASDC.vbs“ soll dann den Trojaner, in diesem Fall die „sdasdvvv.exe“ aus dem Verzeichnis /aeroflot/business.php einer IP-Adresse laden.

 

Nach dem Ausführen der Datei wird das System mit dem Verschlüsselungs- und Erpressungstrojaner „Locky“ verschlüsselt. Virustotal zeigt per 26.02.2016 eine Erkennungsrate von gerade mal 7/55.

 

20160226_corporate_direct_locky

!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://twbers4hmi6dx65f.tor2web.org/***
2. http://twbers4hmi6dx65f.onion.to/***
3. http://twbers4hmi6dx65f.onion.cab/***

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: twbers4hmi6dx65f.onion/***
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: *** !!!

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.