documents

Am Dienstag, den 20. September 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160920_documents

Jesus cobb Office Manager
Box Rentals LLC
Sanibel Executive Suites
Crestwood Apts.
Cleveland Apts.
[email protected]
www.sanibelsuites.com
2230 East 8th St / Office
Joplin, Mo.64801
Cell-417-312-3661
Office-417-624-7900
Fax- 417-624-7971

Die E-Mail mit dem Begriff „documents“ kommt von unterschiedlichen Absendern (E-Mail-Adressen). In der E-Mail ist aber immer die gleiche Firma angegeben, die mit den E-Mails nichts zu tun hat! Öffnen Sie nicht die Anlage!

Die Anlage der E-Mail ist eine .zip-Datei mit unterschiedlichen Dateinamen wie z. B.

  • 2059_234595.zip
  • 6735_72071.zip

Im ZIP-Archiv sind .wsf-Dateien enthalten wie z. B.

  • BA13QO11103.wsf
  • XPP9VLF4204.wsf

Diese Dateien laden von unterschiedlichen Domains eine Datei nach, z. B. von

  • writewile.su/CTb6zqTQ?XyGnyjXYy=qqRnasmQBMl
  • steyjixie.net/yoA9A8k6?BfiYcfhq=CLmjLWUi
  • wellyzimme.com/CTb6zqTQ?XyGnyjXYy=qqRnasmQBMl

Die nachgeladene Datei wird als .dll-Datei auf dem System gespeichert und zur Ausführung gebracht:

  • aIgIUJIva1.dll
  • aIgIUJIva2.dll

 

Hierbei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“, auch wenn manche Virenscanner die Datei als TeslaCrypt erkennen. Virustotal zeigt eine Erkennungsrate von 12/57.

Nach der Verschlüsselung sind die typischen Meldungen zu sehen, alle Dateien wurden in .zepto umbenannt.

20160920_documents_bmp

20160920_documents_html

=*$-_|__$+.++-.-$
!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. http://f5xraa2y2ybtrefz.tor2web.org/****
2. http://f5xraa2y2ybtrefz.onion.to/****

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: f5xraa2y2ybtrefz.onion/****
4. Follow the instructions on the site.

!!! Your personal identification ID: **** !!!
+_||-$*=- |
* +++-$$=$
-$|.$$..-=|+.
|=._*+ |

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.