GreenLand Consulting � Unpaid Issue No. 93164

Am Donnerstag, den 10. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160311_greenland_consulting

Dear Client!

For the third time we are reminding you about your unpaid debt.

You used to ask for our advisory services in July 2015, the receipt issued to you was recognized in our database with No. 93164. But it has never been paid off.

We enclose the detailed bill for your recollection and sincerely hope that you will act nobly and responsibly.

Otherwise we will have to start a legal action against you.

Respectfully,
Humberto childs
Chief Accountant
967 Monroe St
FL 93164
288-446-0154

 

Als Absender kommen unterschiedliche Namen vor. Diese lauten zum Beispiel:

  • Humberto childs
  • Mai langley
  • Sarah willans

Der E-Mail ist eine .zip – Datei beigefügt, die ein JavaScript (.js) enthält. Von einer Domain wird mittels JavaScript der Verschlüsselungs- und Erpressungstrojaner TeslaCrypt geladen, der alle Dateien verschlüsselt und in .mp3 umbenennt.

 

20160311_greenland_consulting_teslacrypt

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server

What do I do ?
So , there are two ways you can choose: wait for a miracle and get your price doubled , or start obtaining BITCOIN NOW !!!!! , and restore your data easy way
If You have really valuable data, you better not waste your time, because there is no other way to get your files , except make a payment

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below
* http:// rbg4hfbilrf7to452p89hrfq.boonmower[.]com/***
* http:// irhng84nfaslbv243ljtblwqjrb.pinnafaon[.]at/***
* http:// t54ndnku456ngkwsudqer.wallymac[.]com/***
If for some reasons the addresses are not available, follow these steps
* Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
* After a successful installation, run the browser
* Type in the address bar: xlowfznrg4wf7dli.onion/***
* Follow the instructions on the site

IMPORTANT INFORMATION
Your personal pages
http:// rbg4hfbilrf7to452p89hrfq.boonmower[.]com/***
http:// irhng84nfaslbv243ljtblwqjrb.pinnafaon[.]at/***
http:// t54ndnku456ngkwsudqer.wallymac[.]com/***

Kommentar(e)

3 Kommentare

  • Jürgen Heusler

    Habe ich gestern und heute per E-Mail bekommen. Anhang habe ich nicht geöffnet. Ich hoffe dann passiert auch nichts???

    • Sebastian Brück

      Technisch gesehen wäre es möglich, dass ich meinen Computer bereits beim Öffnen einer E-Mail infizieren kann (dazu muss ich die E-Mail nicht mal explizit geöffnet haben, denn Vorschau – Fenster reichen – je nach Konfiguration des PCs / der E-Mail-Anwendung – bereits aus, um die E-Mail auszuführen). Zum Glück wird von dieser Möglichkeit aber relativ selten Gebrauch gemacht.

      Während die Betrüger noch vor wenigen Monaten eher E-Mails mit Word- oder Excel-Datei versendet haben (darin war ein Makro enthalten, welches den Trojaner nachgeladen hat), kommen im Moment eher ZIP-Archive vor, die ein JavaScript enthalten (und den Trojaner nachladen). Ich bin mal gespannt, was sich die Betrüger demnächst einfallen lassen.

      Der hier enthaltene TeslaCrypt hätte beim Öffnen des JavaScript direkt das Computersystem verschlüsselt und sich (außer durch Stromstecker ziehen) nicht davon abhalten lassen. Wenn ich die Anlage ausführe, merke ich relativ schnell, was passiert (spätestens dann, wenn die Erpressung auf dem Bildschirm angezeigt wird).

      Gerade wegen der massenweisen Verbreitung von Locky und TeslaCrypt kann ich derzeit nur jedem Nutzer empfehlen, über das Thema „Datensicherung“ nachzudenken. Wenn ich ein solches Programm versehentlich ausgeführt habe, dann ist es zu spät. Wichtig ist, dass die Datensicherung auf einem Datenträger (Stick, CD/DVD, SD-Karte, externe Festplatte o. ä.) erfolgt und das Medium nach der Sicherung nicht mehr mit dem Computer verbunden ist. Verschlüsselungs- und Erpressungssoftware würde sonst auch die Datensicherung unbrauchbar machen.

  • Habe auch diese mails reichlich bekommen, aber die zip-dateien nicht geöffnet.
    Die mails reichen ja bis zur Bedrohung (Weitergabe meiner Daten an POLICE usw.)
    Wie erreiche ich denn, daß diese Dinger erst garnicht bei mir ankommen?
    Habe noch nichts gefunden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert