Whitehouse paperwork von admin@deine Domain
Am Mittwoch, den 02. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
This E-mail was sent from „RNPDD9C46“ (Aficio MP C2500).
Scan Date: Wed, 02 Mar 2016 13:14:55 +0300
Queries to: admin@deine Domain
Die E-Mail soll so aussehen, als ob von ein Dokument eingescannt wurde und dies von der eigenen Domain / dem eigenen Unternehmen.
Der E-Mail ist eine .zip – Datei (20160302[6-14stellige Zahl].zip, z. B. 20160302136498.zip oder 2016030270240564964651.zip) beigefügt, die eine .js – Datei (CI8798843344.js, CJ3618264940.js, JM7186849440.js, JQ8721575991.js, KL4347468512.js, MO1089989813.js, OI4122469145.js, OR5121206096.js, UF9035259657.js, UM3964624553.js, YB8696965736.js oder YN4310175073.js) enthält.
Aus dem Verzeichnis /system/logs/ unterschiedlicher Domains (z. B. .com, .gr) wird die Datei „76tr5rguinml.exe“ geladen und auf dem Computer zur Ausführung gebracht. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 10/55.