Payment

Am Donnerstag, den 23. Juni 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160623_payment

Dear (benutzer),

Our records show that we have not yet received payment for the previous order #A-489560
Could you please send payment as soon as possible?

Please find attached file for details.
Yours sincerely
Queen Cooke
Executive Director Finance & Information Systems

 

Die E-Mail mit dem Betreff „Payment“ stammt angeblich von unterschiedlichen Absendern wie z. B.

  • Queen Cooke, Executive Director Finance & Information Systems
  • Ahmad Church, Technical Manager – General Insurance

Der E-Mail ist ein .zip – Archiv beigefügt, was z. B. wie folgt benannt ist:

  • (benutzer)_report_061254.zip
  • (benutzer)_scan_report_873182.zip
  • (benutzer)_scanned_489560.zip

In der ZIP-Datei befindet sich ein JavaScript wie z. B. unpaid-6256.js oder unpaid-8450.js. Von unterschiedlichen Domains wird der Verschlüsselungs- und Erpressungstrojaner „Locky“ nachgeladen

  • bbmarilu.it/f7x1378
  • modband.com/a4jw2if

Virustotal zeigt eine Erkennungsrate von 6/55.

 

Nach der Verschlüsselung erscheint sowohl das typische Bild (.bmp – Datei) als Desktop – Hintergrund:

20160623_payment_bmp

–*__+$+_|-|+– $.
*=* |$ |=*$++-|
|_+_+|=|
_=+ -++

!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://sonuh5glplozcs2m.tor2web.org/***
2. http://sonuh5glplozcs2m.onion.to/***

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: sonuh5glplozcs2m.onion/****
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: **** !!!
— =- =. $
++=++=*|$
._ ._
|.$= =_-.. =+-

 

Es erscheint auch eine Internetseite mit der gleichen Meldung:

20160623_payment_html

 

Die Links zeigen die typische Erpressung:

20160623_payment_web

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.