bank account report, company database oder Scanned image

Am Montag, den 18. Juli 2016 wurden durch unbekannte Dritte unterschiedliche E-Mails in englischer Sprache versendet:

20160718_bank_account_repor

bank account report von Patsy Salazar
Hi

Thank you very much for responding my email in a very short time. Attached is the bank account report. Please look at it again and see if you have any disapproval.


King regards,
Patsy Salazar
PENNANT INTERNATIONAL GROUP
Phone: +1 (955) 250-48-66, Fax: +1 (955) 250-48-04

 

20160718_company_database

company database von Tania Davidson
Hello

I am deeply gratified that you reacted to my email promptly.
The attached is concerned with the company database. Feel free to comment me on the subject.

Warm regards,

Tania Davidson
PITTARDS PLC
Phone: +1 (065) 058-35-76, Fax: +1 (065) 058-35-20
e-mail: [email protected]

 

Neben den beiden o. g. E-Mails kommt auch der Betreff „Scanned image“ vor. Hierbei ist der Inhalt nur „Image data has been attached to this email.“ mit einer Word- oder ZIP-Datei als Anhang. Diese E-Mails stammen von z. B. helpdesk1209@Deine Domain, copier410@Deine Domain, printer95@Deine Domain, reception62@Deine Domain oder scan758@Deine Domain.

Sofern es sich um eine Word-Datei handelt, lädt ein Makro eine Datei aus dem Internet nach. Bei den ZIP-Archiven ist ein JavaScript enthalten, welches von unterschiedlichen Domains den Verschlüsselungs- und Erpressungstrojaner Locky nachlädt.

  • marcinek.republika.pl/54ghnnuo
  • static.indirveoyna.com/54ghnnuo?FsbwzVVC=xCMzNxmdCbL
  • gruposoluciomatica.com.br/ryi81
  • gv.com.my/qbnuau
  • dnp9.com/zpfqk2l
  • acnek.com/fyxxbcsz

Es werden Dateien unterschiedlicher Größe nachgeladen. Virustotal zeigt unterschiedliche Erkennungsraten.

Nach der Verschlüsselung ist die typische Meldung als HTML-Seite zu sehen:

20160718_locky_html

*|._|||$-|-_-*._
|-$ +*.b*
|$*-$|+-+_|_=*_

!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program,
which is on our secret server.

To receive your private key follow one of the links:
1. http://mphtadhci5mrdlju.tor2web.org/****
2. http://mphtadhci5mrdlju.onion.to/****

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: mphtadhci5mrdlju.onion/****
4. Follow the instructions on the site.

!!! Your personal identification ID: **** !!!
+=+=. = *__

 

Ebenso öffnet sich die Meldung als BMP-Datei:

20160718_locky_bmp

 

In der verlinkten Internetseite werden 2 BitCoin gefordert:

20160718_locky_web

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert