Transaction details
Am Dienstag, den 30. August 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Hi (Benutzer), The transaction you requested was not able to proceed. Please see the attachment to recheck the account number.
Best Regards,
Joni Morgan
Account Manager
Die E-Mail mit dem Betreff „Transaction details“ bringt eine Anlage im .zip – Format mit (z. B. 00df86012f8.zip). Darin enthalten ist ein Script (.wsf, z. B. transaction_details_aaf165f5.wsf).
Über Domains wie z. B.
- www.mediolina.org/pl7l8yhm
- bestcheats.cba.pl/hi777g
- hacca.kitunebi.com/i7p2i9l
- sopranolady7.wang/1m0iy8rd
- www.roghmann-net.de/5mkdn
wird der Verschlüsselungs- und Erpressungstrojaner „Locky“ nachgeladen und als .dll – Datei auf dem Computer abgespeichert / ausgeführt (z. B. VmT8o3silCsNy.dll). Virustotal zeigt eine Erkennungsrate von 25/56.