FW: [Scan] 2016-08-13 15:57:14 von Deiner Domain an Dich

Am Dienstag, den 30. August 2016 sowie am Mittwoch, den 31. August 2016 wurden (bzw. werden immer noch) durch unbekannte Dritte die folgenden E-Mails in englischer Sprache versendet:

20160830_fw_scan_2016-08-13

—–Original Message—–
From: „Brain“ <[email protected](Deine Domain)>
Sent: 2016-08-13 15:57:14
To: (Deine E-Mail-Adresse)
Subject: [Scan] 2016-08-13 15:57:14

Sent with Genius Scan for iOS.
http://bit.ly/download-genius-scan

Die E-Mail mit dem Betreff „FW: [Scan] 2016-08-13 15:57:14“, angeblich von einem Benutzer Deiner Domain an Dich, enthält teilweise auch nur den Betreff [Scan] mit Datum (englische Schreibweise) und Uhrzeit des Versand. In der E-Mail sind die gleichen Daten nochmal enthalten. Klicken Sie nicht auf die Anlage und Öffnen Sie nicht die .zip – Datei!

Als Anlage ist eine .zip-Datei beigefügt, die eine .hta – Datei (HTML-Datei) enthält. Ein Script lädt von diversen Domain den Verschlüsselungs- und Erpressungstrojaner „Locky“ nach:

  • alc-okadakogyo.com/HJghjt872?ybIzIRPiUqm=dQQuFeD
  • convenilifecanbe.web.fc2.com/HJghjt872?ioiTCsG=AxhMFb
  • detoxshop.atspace.com/HJghjt872?rEVkyGCvRz=IqnqDXrlvJ
  • finishcar.de/HJghjt872?xOuncobu=XecuqXkAi
  • freeused.web.fc2.com/HJghjt872?ioiTCsG=AxhMFb
  • joeybecker.gmxhome.de/HJghjt872?XxJrIb=aAcNTmUU
  • nkbzryw.republika.pl/HJghjt872?xOuncobu=XecuqXkAi
  • pcps.web.fc2.com/HJghjt872?XxJrIb=aAcNTmUU
  • powermax.ru/HJghjt872?xOuncobu=XecuqXkAi
  • rakutenjapan.web.fc2.com/HJghjt872?fMQOeySUdGM=OxolXWoomJb
  • simo62.web.fc2.com/HJghjt872?ybIzIRPiUqm=dQQuFeD
  • sonaeyou1.web.fc2.com/HJghjt872?GcxqWHPmD=qdrLMf
  • twojamuza.y0.pl/HJghjt872?rJJWiKUYh=DkdmccnzL
  • user22393.vs.easily.co.uk/HJghjt872?XxJrIb=aAcNTmUU
  • www.download.extraslot.ru/HJghjt872?ioiTCsG=AxhMFb
  • www.francescafraioli.it/HJghjt872?ybIzIRPiUqm=dQQuFeD
  • www.francogatta.it/HJghjt872?GcxqWHPmD=qdrLMf
  • www.hager.50webs.org/HJghjt872?GcxqWHPmD=qdrLMf
  • www.helpinict.co.uk/HJghjt872?UvvnTmSMUz=tNVbaETKqQf
  • www.hotelancorariviera.com/HJghjt872?fMQOeySUdGM=OxolXWoomJb
  • www.ieslamerced.es/HJghjt872?UvvnTmSMUz=tNVbaETKqQf
  • www.ionut.coman.home.ro/HJghjt872?rJJWiKUYh=DkdmccnzL
  • www.kreso.it/HJghjt872?rEVkyGCvRz=IqnqDXrlvJ
  • www.kukon.go.ro/HJghjt872?fMQOeySUdGM=OxolXWoomJb
  • www.luigigiordano.org/HJghjt872?rEVkyGCvRz=IqnqDXrlvJ
  • www.personalshoppingservice.it/HJghjt872?UvvnTmSMUz=tNVbaETKqQf

Virustotal zeigt eine Erkennungsrate von 20/57.

Nach der Verschlüsselung sind die typischen Meldungen zu sehen:

20160830_fw_scan_bmp

20160830_fw_scan_html

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.