Voice Message from Outside Caller (3m 31s) von Peach Telecom
Am Freitag, den 26. August 2016 wurde durch unbekannte Dritte die folgende, angebliche Sprachnachricht per E-Mail in englischer Sprache versendet:
Voice Message Arrived on Friday, Aug 26 @ 9:14 AM
Name: Outside Caller
Number: Unavailable
Duration: 3m 31s
_________________
UNI.DE SV9100 InMail
Die E-Mail mit dem Betreff „Voice Message from Outside Caller (3m 31s)“ von Peach Telecom behauptet, dass angeblich eine Sprachnachricht eingegangen ist. Der E-Mail ist eine Datei im .zip – Format beigefügt (z. B. Outside Caller 08-26-2016.zip). Diese Nachricht enthält eine Datei mit der Endung .wsf (z. B. 08-26-2016 36ptor06.wsf).
Über die .wsf – Datei lädt ein JavaScript von verschiedenen Domains eine Datei nach:
- seishinkaikenpo.com/nb20gjBV?xJNXYWEr=xnGdqHz
- theramom.web.fc2.com/nb20gjBV?xJNXYWEr=xnGdqHz
- sewarte.homepage.t-online.de/nb20gjBV?xJNXYWEr=xnGdqHz
Auf dem Computer wird diese Datei mit der Endung .dll abgespeichert (z. B. LHOyUOaiiss1.dll) und zur Ausführung gebracht. Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 15/57.
Nach der Verschlüsselung werden die typischen Meldungen angezeigt: