Whitehouse paperwork von [email protected] Domain

Am Mittwoch, den 02. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160302_whitehouse_paperwork

This E-mail was sent from „RNPDD9C46“ (Aficio MP C2500).

Scan Date: Wed, 02 Mar 2016 13:14:55 +0300
Queries to: [email protected] Domain

 

Die E-Mail soll so aussehen, als ob von ein Dokument eingescannt wurde und dies von der eigenen Domain / dem eigenen Unternehmen.

Der E-Mail ist eine .zip – Datei (20160302[6-14stellige Zahl].zip, z. B. 20160302136498.zip oder 2016030270240564964651.zip) beigefügt, die eine .js – Datei (CI8798843344.js, CJ3618264940.js, JM7186849440.js, JQ8721575991.js, KL4347468512.js, MO1089989813.js, OI4122469145.js, OR5121206096.js, UF9035259657.js, UM3964624553.js, YB8696965736.js oder YN4310175073.js) enthält.

 

Aus dem Verzeichnis /system/logs/ unterschiedlicher Domains (z. B. .com, .gr) wird die Datei „76tr5rguinml.exe“ geladen und auf dem Computer zur Ausführung gebracht. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 10/55.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.