Voice Message from Outside Caller (0m 31s) von Peach Telecom ([email protected] oder [email protected])

Am Mittwoch, den 31. August 2016 und Donnerstag, den 01. September 2016 wurde – wie bereits am 26.08.2016 – durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160901_voice_message_from_outside_caller

Voice Message Arrived on Friday, Aug 26 @ 5: 24 AM
Name: Outside Caller
Number: Unavailable
Duration: 0m 31s
_________________
(Deine Domain) SV9100 InMail

Die E-Mail kommt mit dem Betreff „Voice Message from Outside Caller (0m 31s)“, wobei die Zeitangabe in Minuten und Sekunden je E-Mail unterschiedlich ist. Absender ist angeblich die Peach Telecom, wobei verschiedene E-Mail-Adressen wie peach_necsv(1-4stellige Zahl)@hotmail.co.uk oder peach_necsv(1-4stellige Zahl)@hotmail.com verwendet werden.

Als Anlage ist eine Datei „Outside Caller 08-31-2016 606a7.zip“ beigefügt, wobei auch hier die letzten Zeichen je E-Mail unterschiedlich sind. Klicken Sie nicht auf die Anlage und öffnen Sie nicht die .zip-Datei! Im ZIP-Archiv ist diesmal eine .hta-Datei (HTML) wie z. B.

  • JvO79P.hta
  • vr5Dz9.hta
  • RanoX.hta
  • UPDhM2.hta
  • X8z6441.hta
  • …,

die von unterschiedlichen Domains den Verschlüsselungs- und Erpressungstrojaner „Locky“ nachlädt:

  • www.john.edmunds.talktalk.net/cwjhfxb?oMIKVhEvCG=IVwNaSz
  • foerschl.gmxhome.de/imnmicp?BDSoCf=KWIXVGcK
  • yggithuq.utawebhost.at/opdcrhh?FkvTsdme=SiBuRYqt
  • wapnn.vov.ru/ummvyia?fPYyGNpGWPC=tRDoqr

Virustotal zeigt eine Erkennungsrate von 9/55.

Nach der Verschlüsselung werden die typischen Meldungen angezeigt:

20160901_voice_html

20160901_voice_bmp

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.