Express Parcel service

Am Montag, den 19. September 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160919_express_parcel_service

Betreff: Express Parcel service

Dear (Benutzer), we have sent your parcel by Express Parcel service.

The attachment includes the date and time of the arrival and the lists of the items you ordered. Please check them.
Thank you.

Die E-Mail bringt in der Anlage angeblich weitere Details zum Lieferzeitpunkt und den bestellten Produkten. Als Anlage ist ein ZIP-Archiv beigefügt, welches z. B. „97bfa793e000.zip“ lautet.

Im ZIP-Archiv befinden sich zwei Dateien. Zum einen eine Datei ohne Dateiendung wie z. B. „G“. Des weiteren bedindet sich ein JavaScript im Archiv, welches z. B. „Express Parcel service ~4932FB6B~.js“ lautet.

Klicken Sie nicht auf die ZIP-Datei und vor allem nicht auf das JavaScript! Von der Domain roxieimshi.com/cpboa wird der Verschlüsselungs- und Erpressungstrojaner „Locky“ nachgeladen. Das JavaScript speichert ihn z. B. unter „kGMxeu76T4uIcRI.dll“ auf dem System. Virustotal zeigt eine Erkennungsrate von 14/55.

Nach der Ausführung der Datei werden alle wichtigen Dateien verschlüsselt. Anschließend sind – neben einer _HELP_instructions.bmp und _HELP_instructions.html – nur noch Dateien mit der Endung „.zepto“ zu finden:

20160919_locky_dateien

 

Außerdem wird die  _HELP_instructions.bmp als Destop-Hintergrund angezeigt und in einer Bildbearbeitung geöffnet:

20160919_locky_bmp

Ebenso öffnet sich die _HELP_instructions.html im Browser:

20160919_locky_html

=—_$* -.$=$$+.-
$ *_*$|_-=._
-= _*_$-|
+= |+==| =*+$_

!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://f5xraa2y2ybtrefz.tor2web.org/*****
2. http://f5xraa2y2ybtrefz.onion.to/*****

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: f5xraa2y2ybtrefz.onion/*****
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!
+_=-=-+._

 

Die Links führen zur eigentlichen Erpressung. Hier werden 2 BitCoin gefordert:

20160919_locky_web

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert