payment confirmation
Am Mittwoch, den 30. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear (Empfänger),
Many thanks for your card payment. Please find payment confirmation attached below.
Should you have any queries, please do not hesitate to contact Credit Control Team.
Best regards
Burl Chaney
Managing Director
Wie bereits bei den vielen „recent bill“ von heute handelt es sich auch hierbei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Teilweise ist auch hier die Anlage nicht richtig codiert, so dass sie sich – zum Glück – nicht immer öffnen lässt. Diesmal ist statt einem ZIP-Archiv eine .rar-Datei beigefügt, welches aber auch ein JavaScript enthält. Für die nachgeladene .exe – Datei zeigt Virustotal eine Erkennungsrate von 7/56.
Nach der Verschlüsselung der Dateien wird die typische Meldung angezeigt:
*=.*_
++~=*$-+__+++_=$
!!! WICHTIGE INFORMATIONEN !!!!Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://25z5g623wpqpdwis.tor2web.org/***
2. http://25z5g623wpqpdwis.onion.to/***
3. http://25z5g623wpqpdwis.onion.cab/***Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: 25z5g623wpqpdwis.onion/***
4. Folgen Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: *** !!!
-*_-~*.=-.–._.
Die verlinkte Internetseite würde wie folgt aussehen:
Hallo, ich bekomme in den letzten 3 Wochen vermehrt e-Mails , mit Anhängen von unbekannten Absendern. Ich öffne so etwas nie, wegen Viren Gefahr. Vielleicht können Sie damit etwas anfangen oder andere warnen.
Christa Moady – payment confirmation(30.03.16)
Lorrain Walton – recent bill (30.03016)
Enid Gay Bill N-D881B1 (29.03.16)
Michael Langer Greetings from me (28.03.16) Jemand ist gestorben und ich erbe Geld und ich soll meine Daten bekannt geben.
Acaiberry 900(02.03.16) Was haben sie lieber Blumen oder Rabatte?
A1 Bill habe ich auch schon 2mal bekommen.
DPD Versand (da habe ich leider zurück geschrieben, dass ich nichts bestellt habe)
Ich gebe diese Mails in Junkmail und sperre die Absender. Das interessante dabei ist, das ich die Mails auf meinen Laptop und aufs Handy bekomme, diese aber bei meinen Webmailserver(chello) nicht aufscheinen. UPC kann sich das auch nicht erklären?
Können Sie mir raten, was ich gegen diese Mails tun kann?
Mit freundlichen Grüßen,
Graciela Brand
Ich habe diese Mails in Junkmail gegeben und Absender