Shipping information
Am Donnerstag, den 01. September 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear customer,
Our shipping service is sending the order form due to the request from your company.
Please fill the attached form with precise information.
Very truly yours,
Gerald Larsen
Die E-Mail mit dem Betreff „Shipping information“ bringt eine .zip – Datei wie z. B. „8b99c13daca.zip“ mit. Darin enthalten ist ein JavaScript wie z. B. „26DB488C_shipping_service.js“. Dieses Script lädt von unterschiedlichen Domains wie z. B.
- mambarambaro.ws/1zvqoqf
- simplybridalweddingmakeup.co.uk/auuw2x8f
den Verschlüsselungs- und Erpressungstrojaner „Locky“ nach und speichert diesen als .dll – Datei auf dem System (z. B. vO0uvgYSwYfw0tHu.dll). Virustotal zeigt eine Erkennungsrate von 23/56.
Nach der Verschlüsselung wird eine Meldung als Bild (.bmp) und Internetseite (.html) angezeigt:
