FW: von Jane Furse

Am Dienstag, den 10. Mai 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160510_fw

Please find your monthly credit card statement attached to this e-mail.
We would also like to let you know that your negative balance has reached a maximum limit.

 

Der E-Mail mit dem Betreff „FW:“ von Jane Furse ist ein ZIP-Archiv beigefügt (z. B. home_invoices_920066.zip). Das ZIP-Archiv enthält eine Datei mit der Endung .hta (z. B. money_5uhVbjgJ4.hta):

20160510_fw_hta

<html><head><hta:application id=SMOnTX border=none applicationName=SMOnTX showInTaskBar=no caption=no innerBorder=no selection=no scroll=no contextmenu=no /></head><script language=javascript>

</script></html>

 

Mit dieser Datei wird der Verschlüsselungs- und Erpressungstrojaner Locky nachgeladen. Da die Datei den Trojaner gleichzeitig von diversen Domains (dort die Datei ad.exe) nachlädt, kommt das Computersystem vor der Verschlüsselung evtl. ins Stocken.

  • sky-hero.com
  • buyemergencylight.com
  • ribastiendaonline.com
  • clearancezone.com.au
  • zanvair.co.uk
  • myfashionfavourites.com
  • anustyle.co.uk
  • metersdirect.com.au
  • atlfitness.com.br
  • shopnutri.com.br
  • homesdreams.com
  • liftmaxthailand.com
  • new-exhibitions.heckfordclients.co.uk
  • airconditioning-outlet.co.uk
  • shoppingsin.com
  • magnumautomotivo.com.br
  • melodyderm.com
  • outletsmarcas.com
  • shoesmackers.com
  • store.pinkupcape.com
  • vizyt-shop.com
  • warehousestudiochicago.com
  • mikronjoalheria.com.br
  • getdattee.com
  • videale.com.br
  • pgkdistribution.co.uk
  • aw-store.com
  • gmdengineering.com.au
  • lyintl.com
  • fashionpoppers.com
  • cenasuniformes.com.br
  • merlindistribuidora.com.br
  • casarenodirect.com
  • mosaicworld.co.uk
  • davidjubermann.com
  • coating-supplies.com.au
  • mailboxesflorida.com
  • volparts.com.br
  • pittora.com
  • seatsshop.com
  • demarcojewels.com
  • bellenuits.com
  • lcdonline.com.br
  • lcdistributing.com
  • millersportsaspen.com
  • elitesup.com
  • wholesalejaipurkurti.com
  • bedbugsurvivalguide.com
  • matakanaestatewine.com
  • hotgrocer.com
  • lasvegasfruitsandnuts.com
  • hairbowjewelry.com
  • hkautosports.com
  • alyssaprinting.com

 

Nach der Verschlüsselung wird als Bildschirmhintergrund eine Meldung als BMP-Datei angezeigt, außerdem öffnen sich durch die vielen Dateien unzählige Browserfenster (Tabs) mit der Meldung.

20160510_fw_bmp

.=+~+**$_–$_
!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://25z5g623wpqpdwis.tor2web.org/***
2. http://25z5g623wpqpdwis.onion.to/***
3. http://25z5g623wpqpdwis.onion.cab/***

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: 25z5g623wpqpdwis.onion/***
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: *** !!!

_-$|==*
$$~-.==~.=~~***-=

 

Virustotal zeigt für die nachgeladene .exe-Datei eine Erkennungsrate von 6/57.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.