Your Latest Documents from Angel Springs Ltd [STA054C] von [email protected]
Am Donnerstag, den 07. April 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear Customer,
Please find attached your latest document (s). You may have noticed that we have changed the way you receive your new attached documents from Angel Springs. Following feedback from our customers we’ve invested in upgrading our billing systems to make things a little easier for you.
Here’s a few ways we’ve made it easier for you:
Your new documents are now attached to your email. You don’t have to follow a link now to get to your documents.
Our customer portal has been upgraded to give you a clearer, simpler view of your documents and any outstanding invoices.
You can simply and easily raise any queries you may have through the customer portal.
You can also connect to our E-Billing solution to access other relevant documents by clicking on the following link; Single Click LoginDetailed below are your latest documents.
Account Number Date Invoice Number Document Type
STA054C 31-Mar-2016 3027769 53.83 Invoice
Please note: you may wish to save your documents on initial viewing. However, after your first viewing you will be able to access copy documents by simply clicking the link.If you would like to discuss or have any queries in relation to any of the documents then please do not hesitate to contact us on 0845 230 9555 and we will be more than happy to assist you. Please do not reply to this email.
To see Angel Springs latest special offer that will save you money and help support Make a Wish, please click on the attached document
With Kind Regards,
Angel Springs Ltd
Der E-Mail mit dem Betreff „Your Latest Documents from Angel Springs Ltd [STA054C]“, angelich von [email protected] versendet, ist ein Word-Dokument mit dem Namen „G-A0288010040780590521.docm“ beigefügt.
Das Word-Dokument enthält ein Makro, mit dem Trojanische Pferde nachgeladen werden. Es handelt sich um unterschiedliche bösartige Programme, die von unterschiedlichen Domains nachgeladen werden.
- cheetos.exe: Virustotal zeigt eine Erkennungsrate von 19/55 (evtl. Online-Banking-Trojaner).
- C.tmp: Virustotal zeigt eine Erkennungsrate von 4/57.
- D.tmp: Virustotal zeigt eine Erkennungsrate von 5/57 (evtl. Verschlüsselungs- und Erpressungstrojaner „Locky“).
Bei einem der drei Programme handelt es sich definitiv um den Verschlüsselungs- und Erpressungstrojaner „Locky“, da nach dessen Ausführung die entsprechenden Meldungen erscheinen:
++++|-=
$_–+~.|$$$_+.|_~+$
–==-.|
|-*-*-*+
!!! WICHTIGE INFORMATIONEN !!!!Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://25z5g623wpqpdwis.tor2web.org/***
2. http://25z5g623wpqpdwis.onion.to/***
3. http://25z5g623wpqpdwis.onion.cab/***Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: 25z5g623wpqpdwis.onion/***
4. Folgen Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: *** !!!
+*.*-~$*||
.$*_~_**=***
.*+.=._+|*=$|*