Thank you! Your online order was placed successfully von Dussmann Service Deutschland GmbH
Am Donnerstag, den 05. Mai 2015 (Christi Himmelfahrt) wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache (und mit englischem Betreff) versendet:
Hallo,
anbei finden Sie die Servicerechnung für den Monat April 2016.
Ich wünsche Ihnen einen schönen Feiertag.
Freundliche Grüße
i. A. Ralf Fischer
stellv. Büroleiter
Fon +49 (0)30 / 20 25 – 30 00
Fax +49 (0)30 / 20 25 – 33 33[email protected]
www.dussmann-office.com/de/Dussmann Service Deutschland GmbH
Friedrichstraße 90
10117 BerlinDussmann Office
Büro- und Standortlösungen für Ihr Business
Die E-Mail mit dem englischen Betreff „Thank you! Your online order was placed successfully“ stammt angeblich von der deutschen Firma Dussmann Service Deutschland GmbH. Dem ist aber nicht so. Als Absender kommen unterschiedliche Namen vor wie z. B.
- Ralf Fischer
- Egon Schumacher
- Werner Keller
- Lothar Scholz
- Klemens Vogel
- Urs Koch
- Ingemar Huber
- Heinrich Frank
- Erich Lehmann
- Gustaf Herrmann
- Lutz Keller
- Conrad Frank
- Andreas Becker
- Dieter Krause
- Timo Werner
- Curd Kraus
- Schorsch Huber
- Gustaf Fuchs
- Werher Schmitz
- Ferdinand Schmitz
Der E-Mail ist eine Anlage im .zip – Format beigefügt (z. B. RehngNr-68178.zip). Das ZIP-Archiv enthält eine Datei mit der Doppel – Endung „.pdf.psf“ (z. B. rehngnrC101325.pdf.wsf), wobei die Endung „.pdf“ nur ablenken soll. Es handelt sich um ein Java-Script, welches den Verschlüsselungs- und Erpressungstrojaner Locky nachladen würde. Virustotal zeigt für die .wsf – Datei eine Erkennungsrate von 0/55.
Die aktuelle Locky-Version zeigt die Erpressung a) als bmp:
und b) als HTML-Seite:
=_*=-=+~.-|*-+*
+~-+.$-~
!!! WICHTIGE INFORMATIONEN !!!!Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://25z5g623wpqpdwis.tor2web.org/***
2. http://25z5g623wpqpdwis.onion.to/***
3. http://25z5g623wpqpdwis.onion.cab/***Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: 25z5g623wpqpdwis.onion/***
4. Folgen Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: *** !!!
=.$*_+-~~=.**$_
++=_++$-+~|+~~~$$=.
_~*-+-.-