Emailing: IMG_4652 von admin@Deine Domain
Am Montag, den 14. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Your message is ready to be sent with the following file or link attachments:
IMG_4652
Note: To protect against computer viruses, e-mail programs may prevent sending or receiving certain types of file attachments. Check your e-mail security settings to determine how attachments are handled.Please consider the environment before printing this email.
E-mail messages may contain viruses, worms, or other malicious code. By reading the message and opening any attachments, the recipient accepts full responsibility for taking protective action against such code. Henry Schein is not liable for any loss or damage arising from this message.The information in this email is confidential and may be legally privileged. It is intended solely for the addressee(s). Access to this e-mail by anyone else is unauthorized.
Die E-Mail gibt vor, von admin (admin@Deine Domain) zu stammen. Als Betreff sind unterschiedliche Nummern angegeben wie z. B.
- Emailing: IMG_4652
- Emailing: IMG_22102
- Emailing: IMG_3273
- Emailing: IMG_83003
- Emailing: IMG_87987
- Emailing: IMG_4857
- Emailing: IMG_8392
- Emailing: IMG_10826
- Emailing: IMG_9734
Der Name der Dateianlage (.zip – Format) entspricht der Nummer im Betreff:
- IMG_4652.zip
- IMG_22102.zip
- IMG_3273.zip
- IMG_83003.zip
- IMG_87987.zip
- IMG_4857.zip
- IMG_8392.zip
- IMG_10826.zip
- IMG_9734.zip
Im .zip – Archiv ist ein JavaScript mit unterschiedlichen Dateinamen enthalten. Hier einige Beispiel:
- BPM4320134706.js
- DMW4980597901.js
- ICG8994683408.js
- IDS5534596907.js
- NEL3620863305.js
- NWO3971235204.js
- RXY4167329602.js
- WHO8521647601.js
Aus dem Verzeichnis „/system/logs/“ diverser Domains wird die Datei „78tgh76.exe“ geladen. Diese wird auf dem PC z. B. als FGzNRe.exe, kuYofqybwU.exe, OndXSwggSj.exe, pBHnCywB.exe, UMeoeuH.exe oder VahzMcxKyDA.exe abgelegt. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“.
Virustotal zeigt für die .zip – Datei eine Erkennungsrate von 8/56, für die .js – Datei eine Erkennungsrate von 7/52 und für die .exe – Datei eine Erkennungsrate von 7/56.
Nach der Infektion des Computers und der Verschlüsselung diverser Dateiformate wird eine entsprechende Meldung auf dem Bildschirm angezeigt:
!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://i3ezlvkoi7fwyood.tor2web.org/***
2. http://i3ezlvkoi7fwyood.onion.to/***
3. http://i3ezlvkoi7fwyood.onion.cab/***Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: i3ezlvkoi7fwyood.onion/***
4. Folgen Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: *** !!!