Travel expense sheet
Am Donnerstag, den 01. September 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear (Benutzer),
Here is the travel expense sheet for your upcoming company field trip. Pl=
ease write down the approximate costs in the attachment.Warm wishes,
Marie Pitts
Die E-Mail mit dem Betreff „Travel expense sheet“ bringt eine .zip – Datei wie z. B. „cd69f3a1eb69.zip“ mit. Darin enthalten sind zwei JavaScript – Dateien wie z. B.
- Travel_expense_sheet_D9BB6415 – 1.js
- Travel_expense_sheet_D9BB6415.js
Diese laden von unterschiedlichen Domains den Verschlüsselungs- und Erpressungstrojaner „Locky“ nach und speichern diesen als .dll – Datei auf dem System (wie z. B. „TC7ghNmWlc.dll“).
- 209.41.183.242/jf64xt
- danzig.vtrbandaancha.net/w51kt0h
- matsumotokoichi.web.fc2.com/qfwkp
- onlybest76.xyz/3sdq0
- www.porchettadicolledara.com/brqtvtar
Virustotal zeigt eine Erkennungsrate von 21/56.