Thank you! Your online order was placed successfully von Dussmann Service Deutschland GmbH

Am Donnerstag, den 05. Mai 2015 (Christi Himmelfahrt) wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache (und mit englischem Betreff) versendet:

20160505_thank_you_your_online_order_was_placed_successfully

Hallo,

anbei finden Sie die Servicerechnung für den Monat April 2016.

Ich wünsche Ihnen einen schönen Feiertag.

Freundliche Grüße

i. A. Ralf Fischer
stellv. Büroleiter
Fon +49 (0)30 / 20 25 – 30 00
Fax +49 (0)30 / 20 25 – 33 33

[email protected]
www.dussmann-office.com/de/

Dussmann Service Deutschland GmbH
Friedrichstraße 90
10117 Berlin

Dussmann Office
Büro- und Standortlösungen für Ihr Business

 

Die E-Mail mit dem englischen Betreff „Thank you! Your online order was placed successfully“ stammt angeblich von der deutschen Firma Dussmann Service Deutschland GmbH. Dem ist aber nicht so. Als Absender kommen unterschiedliche Namen vor wie z. B.

  • Ralf Fischer
  • Egon Schumacher
  • Werner Keller
  • Lothar Scholz
  • Klemens Vogel
  • Urs Koch
  • Ingemar Huber
  • Heinrich Frank
  • Erich Lehmann
  • Gustaf Herrmann
  • Lutz Keller
  • Conrad Frank
  • Andreas Becker
  • Dieter Krause
  • Timo Werner
  • Curd Kraus
  • Schorsch Huber
  • Gustaf Fuchs
  • Werher Schmitz
  • Ferdinand Schmitz

 

Der E-Mail ist eine Anlage im .zip – Format beigefügt (z. B. RehngNr-68178.zip). Das ZIP-Archiv enthält eine Datei mit der Doppel – Endung „.pdf.psf“ (z. B. rehngnrC101325.pdf.wsf), wobei die Endung „.pdf“ nur ablenken soll. Es handelt sich um ein Java-Script, welches den Verschlüsselungs- und Erpressungstrojaner Locky nachladen würde. Virustotal zeigt für die .wsf – Datei eine Erkennungsrate von 0/55.

Die aktuelle Locky-Version zeigt die Erpressung a) als bmp:

20160505_thank_you_bmp

und b) als HTML-Seite:20160505_thank_you_html

=_*=-=+~.-|*-+*
+~-+.$-~
!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://25z5g623wpqpdwis.tor2web.org/***
2. http://25z5g623wpqpdwis.onion.to/***
3. http://25z5g623wpqpdwis.onion.cab/***

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: 25z5g623wpqpdwis.onion/***
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: *** !!!
=.$*_+-~~=.**$_
++=_++$-+~|+~~~$$=.
_~*-+-.-

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert