Today’s fax von Deiner Domain an Dich

Kommentar hinterlassen

Am Montag, den 22. August 2016 wurde durch unbekannte Dritte die folgende E-Mail mit einem englischen Betreff versendet:

20160822_todays_fax

Die E-Mail mit dem Betreff „Today’s fax“ wurde angeblich von einem Benutzer der eigenen Domain versendet. Die Nachricht hat keinen Inhalt. Eine Word-Datei mit den Dateinamen wie z. B.

  • IMG_6725.DOCM
  • FAX_6318.DOCM
  • DOC_5384.DOCM
  • SCAN_1500.DOCM

ist beigefügt (wobei die 4stellige Zahl pro E-Mail unterschiedlich ist). In dem leeren Word-Dokument ist ein Makro enthalten, welches von diversen Domains den Verschlüsselungs- und Erpressungstrojaner „Locky“ nachlädt:

  • aide-villages-togo.fr/HfgfvhTR5
  • akasylberlin.de/HfgfvhTR5
  • jandoerrenhaus.de/HfgfvhTR5
  • jmriba.endoterapiavegetal.com/HfgfvhTR5
  • koksi.cba.pl/HfgfvhTR5
  • luckyanja.50webs.com/HfgfvhTR5
  • moriyamaseikotuin.web.fc2.com/HfgfvhTR5
  • ofcoursesports.web.fc2.com/HfgfvhTR5
  • raptorbobo.go.ro/HfgfvhTR5
  • satnew.rew.pl/HfgfvhTR5
  • seiwa1202.web.fc2.com/HfgfvhTR5
  • tatakiage.web.fc2.com/HfgfvhTR5
  • w0662mb5g.homepage.t-online.de/HfgfvhTR5
  • webtestde.grafi-offshore.com/HfgfvhTR5
  • www.c-ambergreen.com/HfgfvhTR5
  • www.christianfasselt.de/HfgfvhTR5
  • www.comefri.es/HfgfvhTR5
  • www.terlizzigasimpianti.it/HfgfvhTR5

Die Datei wird zunächst als „dirbadu“ bzw. danach als „axilans.exe“ auf dem Computer gespeichert. Virustotal zeigt eine Erkennungsrate von 4/54. Viele Dateien werden bei der Verschlüsselung in .zepto umbenannt.

Nach der Verschlüsselung wird die bereits bekannte Nachricht angezeigt:

a) als Bilddatei (.bmp)

20160822_todays_bmp

b) als Internetseite (.html)

20160822_todays_html

?+*.$ *$=|
!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm, welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://5n7y4yihirccftc5.tor2web.org/****
2. http://5n7y4yihirccftc5.onion.to/****

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: 5n7y4yihirccftc5.onion/****
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: **** !!!
=-|||*+||_$
+_=_-+++e$+$.=-+
*_|||$–||+++$+|+-_

 

Die verlinkten Seiten zeigen eine Erpressung von 2 BitCoin an:

20160822_todays_web

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert