Voice Message from Outside Caller (0m 31s) von Peach Telecom ([email protected] oder [email protected])
Am Mittwoch, den 31. August 2016 und Donnerstag, den 01. September 2016 wurde – wie bereits am 26.08.2016 – durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Voice Message Arrived on Friday, Aug 26 @ 5: 24 AM
Name: Outside Caller
Number: Unavailable
Duration: 0m 31s
_________________
(Deine Domain) SV9100 InMail
Die E-Mail kommt mit dem Betreff „Voice Message from Outside Caller (0m 31s)“, wobei die Zeitangabe in Minuten und Sekunden je E-Mail unterschiedlich ist. Absender ist angeblich die Peach Telecom, wobei verschiedene E-Mail-Adressen wie peach_necsv(1-4stellige Zahl)@hotmail.co.uk oder peach_necsv(1-4stellige Zahl)@hotmail.com verwendet werden.
Als Anlage ist eine Datei „Outside Caller 08-31-2016 606a7.zip“ beigefügt, wobei auch hier die letzten Zeichen je E-Mail unterschiedlich sind. Klicken Sie nicht auf die Anlage und öffnen Sie nicht die .zip-Datei! Im ZIP-Archiv ist diesmal eine .hta-Datei (HTML) wie z. B.
- JvO79P.hta
- vr5Dz9.hta
- RanoX.hta
- UPDhM2.hta
- X8z6441.hta
- …,
die von unterschiedlichen Domains den Verschlüsselungs- und Erpressungstrojaner „Locky“ nachlädt:
- www.john.edmunds.talktalk.net/cwjhfxb?oMIKVhEvCG=IVwNaSz
- foerschl.gmxhome.de/imnmicp?BDSoCf=KWIXVGcK
- yggithuq.utawebhost.at/opdcrhh?FkvTsdme=SiBuRYqt
- wapnn.vov.ru/ummvyia?fPYyGNpGWPC=tRDoqr
Virustotal zeigt eine Erkennungsrate von 9/55.
Nach der Verschlüsselung werden die typischen Meldungen angezeigt: