Order reference # 36751294
Am Mittwoch, den 02. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear Customer,
We apologize for the troubles with your parcel # 36751294 and can assure you that this mistake will not be happening again.
Please, check the information on this case in the attachment.
Taking in consideration the problem on your order we also included info on your bonus of $417,32 , which you may use during your next order.
Als Absender werden unterschiedliche Namen verwendet. Hier einige Beispiele:
- Latonya parkyn
- Selma henry
- Bud gaskin
- Brett docker
- Georgina bartle
Der E-Mail ist eine .zip – Datei beigefügt, die eine .js – Datei enthält. Es handelt sich bei der aufgerufenen Internetadresse zum Nachladen einer Software um die gleiche Adresse wie bei den Package-Nachrichten vom Vormittag.
Der E-Mail ist eine .zip – Datei beigefügt, die eine .js – Datei enthält. Von einer .com – Domain wird die Datei /69.exe geladen. Dabei handelt es sich um die Verschlüsselungs- und Erpressungstrojaner TeslaCrypt, der alle Dateien verschlüsselt und in .mp3 umbenennt. Virustotal zeigt bisher nur eine Erkennungsrate von 2/55.
Nach der Verschlüsselung des Computers werden entsprechende Meldungen angezeigt:
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)How did this happen ?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret ServerWhat do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1 – http:// sondr5344ygfweyjbfkw4fhsefv.heliofetch[.]at/***
2 – http:// pts764gt354fder34fsqw45gdfsavadfgsfg.kraskula[.]com/***
3 – http:// yyre45dbvn2nhbefbmh.begumvelic[.]at/***
If for some reasons the addresses are not available, follow these steps:
1 – Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 – After a successful installation, run the browser
3 – Type in the address bar: xlowfznrg4wf7dli.onion/***
4 – Follow the instructions on the siteIMPORTANT INFORMATION
Your personal pages
http:// sondr5344ygfweyjbfkw4fhsefv.heliofetch[.]at/***
http:// pts764gt354fder34fsqw45gdfsavadfgsfg.kraskula[.]com/***
http:// yyre45dbvn2nhbefbmh.begumvelic[.]at/***
Your personal page Tor-Browser xlowfznrg4wf7dli.ONION/***
Über die verlinkten Seiten wird eine Geldforderung in Höhe von 500 USD angezeigt:
