Transaction and Payment Confirmation von Courier Service
Am Dienstag, den 01. März 2013 und Mittwoch, den 02. März 2013 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear Customer,
The attached document is a transaction payment confirmation from GlobalMarketing Ltd.
Thank you for your business – we appreciate it very much.
Sincerely,
Felton Ellison Courier Service
Als Absender werden unterschiedliche Namen verwendet. Hier einige Beispiele:
- Bessie Larsen
- Carissa Pugh
- Evangelina Hicks
- Evangeline Baird
- Felton Ellison
- Gabriel Obrien
- Katrina Crawford
- Mack Wilkins
- Robyn Herman
- Sheila Haney
- Violet Gomez
- Ward Cohen
- Wendi Holloway
Der E-Mail ist eine .zip – Datei (document_invoice_[6stellige Zahl].zip, z. B. document_invoice_065892.zip oder document_invoice_240588.zip) beigefügt, die eine .js – Datei (z. B. msg.558448115.js, message.839667596.js oder andere) enthält. Das JavaScript soll die Datei /2/87yv5cds von einer .ro – Domain laden und zur Ausführung bringen. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“.