Package # 46772977
Am Mittwoch, den 02. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear Client,
Your replacement package was shipped 5 days ago and is now being transferred to your local post office.
The package identification number is # 46772977 , please double-check the information on it in the file attached below.
We are grateful for your purchase from our shop and are very sorry for the inconvenience.
Als Absender werden unterschiedliche Namen verwendet. Hier einige Beispiele:
- Kris nodall
- Body symonds
- Jeri vance
- Aurelia lee
- Ollie danby
- Erick hooley
- Claudia askrigg
Der E-Mail ist eine .zip – Datei beigefügt, die eine .js – Datei enthält. Von einer .com – Domain wird die Datei /69.exe geladen. Dabei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner TeslaCrypt, der alle Dateien verschlüsselt und in .mp3 umbenennt. Virustotal zeigt bisher nur eine Erkennungsrate von 2/55. Bei den „Order Reference“ – Nachrichten vom Nachmittag handelt es sich um die gleiche URL / die gleiche Datei.