Order Confirmation-3110-5870356-20160815-913038 von [email protected]

Am Montag, den 15. August 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160815_order_confirmation

Die E-Mail mit dem Betreff „Order Confirmation-3110-5870356-20160815-913038“ von [email protected] bringt nur ein Word-Dokument mit dem Namen „Order Confirmation-3110-5870356-20160815-913038.docm“ mit.

Im Word-Dokument befindet sich ein Makro, welches von der Domain www.tecnohellas.gr/HJ6bhGHV den Verschlüsselungs- und Erpressungstrojaner „Locky“ nachlädt und als „ferdoxs.exe“ auf dem System speichert. Virustotal zeigt eine Erkennungsrate von 9/53.

Nach der Verschlüsselung wird die typische Meldung u. a. auch als HTML-Seite angezeigt:

20160815_order_locky

.b*.=++=-|_c||
*|_|_-c-*=$-$|-$ +
|*$e+-$. -..-+.-

!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secreteserver.
To received your private key follow one of the links:
1. http://zjfq4lnfbs7pncr5.tor2web.org/****
2. http://zjfq4lnfbs7pncr5.onion.to/****

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: zjfq4lnfbs7pncr5.onion/****
4. Follow the instructions on the site.

!!! Your personal identification ID: **** !!!

-+**||+*-|d
-c|$*
*=.- *-_e
_.$$|e*=_|.=e.$|-|$

Kommentar(e)

10 Kommentare

  • und wann wird die Post-Adresse des Absenders veröffentlicht, daß wir vorbeifahren und uns bei ihm bedanken können.
    Das wäre „Internet optimal “ :-)))

  • Habe den Anhang leider geöffnet, dachte es wäre die Rechnung von meinem englischen Lieferanten. Soweit kann ich keine Veränderungen an meinem PC feststellen, bis auf das er sich nicht mehr herunterfahren lässt. Habe den Schnellstart aktiviert und jetzt klappt alles wieder.
    Ant-Virus Programm (Avira) habe ich schon durchlaufen lassen, aber nichts weiter gefunden.
    Eventuell einen Tipp für mich was ich weiter beachten muss… habe irgendwie jetzt ein mulmiges Gefühl durch einen Trojaner oder dergleichen ausspioniert zu werden, da ich auch viel Online Banking etc.. mache.
    Vielen Dank für Eure Hilfe Tipps im voraus.

    • Sebastian Brück

      Was hast Du geöffnet? „Nur“ die Word-Datei (ohne automatisch/manuell ausgeführte Makros) oder wurde auch das Makro ausgeführt?

      Ob Dein PC im Hintergrund den Trojaner geladen und ausgeführt hat, kannst Du ja nicht sehen. Einen unter Windows installierten Virenscanner jetzt noch auf die Suche zu schicken, das bringt auch nichts mehr (wenn der PC infiziert wurde, dann hat der Virenscanner i. d. R. keine Chance mehr, die Infektion zu erkennen oder zu bereinigen). Hast Du eine Boot-CD mit Virenscanner (wie z. B. die Desinfect aus der ‚ct oder die CD von Kaspersky)? Damit könnte man einen PC noch überprüfen.

      Ob über die E-Mail nach wie vor der Locky verteilt wird ist auch offen. Der Locky verschlüsselt das System nicht immer sofort, er lässt sich manchmal auch Zeit. Außerdem wurde über das gleiche Netzwerk früher auch zeitgleich der Dridex-Trojaner verteilt (d. h. auch über die gleichen betrügerischen E-Mails / die gleichen Links/URLs). Der Dridex-Trojaner ist u. a. ein Online-Banking-Trojaner (der, wenn seine deutsche Variante verteilt wird, auch bei uns Geld klauen würde). Gesehen habe ich ihn (in der deutschen Variante) zuletzt zwar nicht mehr, aber ausschließen würde ich ihn aus Erfahrung auch nicht.

      Was die Erkennung eines Online-Banking-Trojaner betrifft (und so hart das jezt klingen mag): Wenn Du bei Deiner Bank ein Zwei-Schritt-Verfahren wie chipTAN/smartTAN plus, pushTAN oder smsTAN hast, dann muss Dich der Trojaner nach einer TAN fragen. Die meisten Trojaner (die für den deutschen Raum geschaffen worden sind) zeigen sich direkt nach der Anmeldung im Online-Banking. Melde Dich im Online-Banking an. Wird Dir irgendein Grund angezeigt, warum Du etwas klicken/bestätigen sollst (wie z. B. eine Anmeldung zu einem DEMO-Zugang, in dem Du eine Testüberweisung bestätigen sollst), dann wüsstest Du, dass der PC infiziert ist. Wichtig ist, dass Du beim Online-Banking auch unabhängig von einer Infektion immer die angezeigte IBAN/Konto-Nr. und den Betrag kontrollierst (und nur dann bestätigst, wenn Du wirklich eine solche Rechnung überweisen willst, also auch keine Fehlüberweisungen, Rücküberweisungen o. ä. bestätigst), der Dridex-Trojaner kann nämlich auch Überweisungen verändern (zuvor zeigt er sich aber bisher durch die DEMO-Anmeldung mit Testüberweisung).

  • Vielen Dank für die ausführlichen Erläuterungen. Kann ich mich jetzt nur um Schadensbegrenzung bemühen und muss dann beim Banking, Paypal etc. acht auf Deine Hinweise geben.

    Ich hatte die Word-Datei angeklickt und angezeigt wurde dann nur ein leeres Blatt, Dokument… nichts weiter passierte. Hoffe auch weiterhin das alles nochmal gut gegangen ist… habe in einem Bericht jetzt gelesen das „exe“ Dateien unter Windows 10 generell blockiert, nicht ausgeführt werden.
    Könnte da ja nochmal Glück gehabt haben, dank dem sichereren, verbesserten Betriebssystem Windows 10.

    Kapersky oder Desinfect habe ich leider nicht, ob sich das jetzt lohnen würde extra zu erwerben? Wenn sich der Trojaner auch noch verzögert, später zuschlagen kann wär es natürlich zum heulen 🙁 …muss ich jetzt wohl jeden Abend ne` Kerze anzünden und hoffen.

    Dank und Grüße
    Jörg

  • Beim online Banking konnte ich glücklicherweise nichts verdächtiges feststellen, sprich es wurde kein Grund angezeigt wurde, warum ich etwas klicken/bestätigen sollte.
    Alles ganz normal wie immer mit Tan bestätigt und ausgeführt. Hoffe nochmal Glück gehabt zu haben und diese Spam Mail ist nicht ganz so heftig gewesen…

    • Sebastian Brück

      Ich habe den Trojaner eben nochmal ausprobiert (3 unterschiedliche Word-Dokumente). Es wird nach wie vor der Locky geladen (Verschlüsselungs- und Erpressungstrojaner bzw. Ransomware).

      Vielleicht hattest Du Glück und Dein Rechner konnte die exe-Datei nicht laden (von drei unterschiedlichen URLs konnte er eben nur bei einer den Trojaner laden, auf zwei anderen URLs war er schon nicht mehr verfügbar). Oder Dein Windows hat die Ausführung der exe-Datei verhindert. Locky wurde bei mir direkt wieder aktiv und hat die Festplatte verschlüsselt, das hättest Du also gesehen (viele Dateien hätten dann die Endung .zepto bekommen).

  • Ja, hoffentlich ist der Kelsch nochmal an mir vorbeigegangen 😉 …mir ist so etwas noch nie passiert. Bin da absoluter Laie. Deshalb bin ich auch sehr sehr dankbar für die Hilfe und Erläuterungen. Ist ja wirklich Wahnsinn was es da alles an Viren gibt. Und die Verbrecher-Bande zu diesem Virus sitzt in Russland? Scheint wohl sehr viele von diesen Hacker Banden dort Ihren Sitz zu haben? Wohl schwer ran zu kommen.
    Vielleicht hat mir in diesem Fall ja wirklich Windows 10 geholfen und die Ausführung der exe-Datei verhindert… wie gesagt bei der Ausführung erschien nur ein leeres Blatt, bzw. Dokument, kurz aufgeflackert dann nichts weiter passiert…
    Endungen mit „zepto“ kann ich glücklicher weise auch nicht feststellen.
    Jetzt bin ich erstmal sehr erleichtert und hoffe Glück gehabt zu haben. Falls sich doch noch etwas auffälliges verändert in den nächsten Tagen geb` ich bescheid.
    Noch eine kurze Frage, was würdest Du mir als Profi noch für ein Software als Schutz für meinen PC empfehlen? Zur Zeit läuft bei mir als Schutz nur das standardmäßige, kostenlose Avira Programm.
    Vielen Dank nochmals für die super Hilfe und noch einen schönen Abend.
    Jörg

  • Mich würde auch noch interessieren, ob Du die Festplatte dann wieder selbst mit einer Software entschlüsseln konntest? Und kam eine Geldforderung, Erpresser Mail von der Hacker Bande?

    • Sebastian Brück

      Es kommt ja keine E-Mail, sondern der Desktop-Hintergrund wird durch eine Meldung ersetzt, eine .bmp-(Bild-)Datei und eine Internetseite mit entsprechender Meldung werden geöffnet und in verschiedenen Verzeichnissen liegen diese Meldungen auch nochmal unübersehbar als Datei.

      Da ich diese Anlagen nicht auf meinem richtigen Rechner öffne, muss ich nachher auch nichts entschlüsseln. Einmal ein Image zurückgespielt und nach ein paar Minuten ist wieder alles sauber.

  • Eine Bilddatei in Form eines leeres Blattes, sah aus wie ein Foto von der Open Office Startseite, kam bei mir auch, dann halt dieses kurze aufflackern. Dieses bewerte ich nun so, als ob Windows 10 etwas blockiert hat. Zu meinem Glück. Da dieser Locky, Trojaner Virus ja schon älter ist und Windows 10 jetzt wohl generell solche „exe“ Dateien blockiert noch einmal mit einem blauen Auge davon gekommen.
    Die einzige Veränderung war, das ich meinen PC nicht mehr runter fahren konnte. Nachdem ich aber den „Schnellstart“ deaktiviert habe geht auch das alles wieder ohne Probleme…

Schreibe einen Kommentar zu Sebastian Brück Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert