Order Confirmation 52436235
Am Freitag, den 09. September 2016 wurde durch unbekannte Dritte die folgende E-Mail mit englischem Betreff versendet:
Außer dem englischen Betreff „Order Confirmation 52436235“ ist der E-Mail nur eine Anlage im zip-Format beigefügt. Die Anlage lautet z. B. „Ord52436235.dzip“. Darin enthalten ist eine Datei „1815uVftYd.hta“. Diese lädt von der Domain walkerandhall.co.uk/7832ghd?VjzIAmziB=ICWcbsYdkm den Verschlüsselungs- und Erpressungstrojaner „Locky“ nach und speichert ihn als .dll-Datei auf dem System (z. B. rSndOElf1.dll). Virustotal zeigt eine Erkennungsrate von 17/57.
Klicken Sie daher nicht auf die Anlage, öffnen Sie nicht die .zip – Datei und führen Sie auf keinen Fall die .hta – Datei aus!
Nach der Verschlüsselung sind auf dem System viele Dateien mit der Endung .zepto zu finden. Außerdem weisen sowohl eine Internetseite, die sich im Browser öffnet, wie auch ein Bild, welches sich ebenfalls öffnet, auf die Verschlüsselung hin:
+|++++=|= ___=+=*+.
+|_****===|-$.*|-
+_*$ +
—+++|!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_StandardDecrypting of your files is only possible with the private key and decrypt program, which
is ond our secret server. To receive your private key follow one of thee links:1. http://5n7y4yihirccftc5.tor2web.org/*****
2. http://5n7y4yihirccftc5.onion.to/*****If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 5n7y4yihirccftc5.onion/*****
4. Follow the instructions on the site.!!! Your personal identification ID: ***** !!!
-+.-.|-**=$
=$=.$+|+–
*|-|$ +=|-*._+=*=