Emailing: MX62EDO 01.03.2016 von documents@deine Domain
Am Dienstag, den 01. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Your message is ready to be sent with the following file or link
attachments:MX62EDO 01.03.2016 SERVICE SHEET
Note: To protect against computer viruses, e-mail programs may prevent
sending or receiving certain types of file attachments. Check your e-mail
security settings to determine how attachments are handled.
—
This email has been checked for viruses by Avast antivirus software.
https://www.avast.com/antivirus
Die E-Mail sieht so aus, als ob Sie von der eigenen Domain versendet wurde. Als Absender ist die Adresse documents@eigener Domainname angegeben. Außerdem soll eine Fußzeile den Anschein erwecken, dass die E-Mail auf Viren geprüft wurde. Dem ist aber nicht so.
Der E-Mail ist eine .zip – Datei (MX62EDO20160301[4-8stellige Zahl].zip) beigefügt, die eine .js – Datei (z. B. AB2591877440.js, OX4947788734.js, RW2920272553.js, ..) enthält. Das JavaScript lädt aus dem Verzeichnis /system/logs/ einer .ru – Domain die Datei „87yhb54cdfy.exe“ nach und bringt diese auf dem PC zur Ausführung. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 24/56.