Information request
Am Freitag, den 27. Mai 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear (Benutzer),
As per our discussion yesterday, please find attached the amended meeting minutes.
I have accepted the majority of the changes requested, however there are some that I have left in the document.
I have included the edits as track changes.Please confirm that the changes we have made are acceptable.
Many thanks
Regards,CMS Energy Corporation
Winnie Crane
Tel.: +1 (856) 344-65-56
Die von unterschiedlichen Absendern wie z. B. Winnie Crane, CMS Engergy Corporation oder Jill Acosta, Steel Partners Holdings LP stammende E-Mail mit dem Betreff „Information request“ bringt als Anlage ein ZIP-Archiv (z. B. changes_(benutzer).zip) mit. Darin enthalten ist ein Javascript wie z. B. changes-6118-.js oder changes-7773-.js.
Von den Domains pnl-maieru.ro/p0h5e2ru oder newpark.co.uk/f9wqhpw wird eine ausführbare Datei nachgeladen und z. B. als b68WYS1Zt.exe oder oIR8MpqgwtYJmZZw.exe auf dem Computer abgelegt und ausgeführt. Es handelt sich hierbei um den Verschlüsselungs- und Erpressungstrojaner Locky. Virustotal zeigt eine Erkennungsrate von 12/56.
.*$||$*
*$== $=_ +!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://eqrvbczir5ua2emd.tor2web.org/*****
2. http://eqrvbczir5ua2emd.onion.to/*****Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: eqrvbczir5ua2emd.onion/*****
4. Folgen Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!
==-+$$*-* +.
$- *_$+=||–..*.$||$+
_$ |-.*_|– ++|