Receipt of payment

Am Donnerstag, den 22. September 2016 wurden durch unbekannte Dritte die folgenden E-Mails in englischer Sprache versendet:

20160922_receipt_of_payment

Good afternoon,

Thank you for you call this afternoon.

Please find attached your receipt of payment.

If you need anything else please feel free to contact me on the details below.

Kind regards.

Eldridge puckey
Credit Controller
IB GIBL Credit Control

Arthur J. Gallagher
BUSINESS WITHOUT BARRIERS

7th Floor Spectrum Building
55 Blythswood Street | Glasgow | G2 7AT
Direct: 0141 233 3164
[email protected]
www.ajginternational.com

Die E-Mails mit dem Betreff „Receipt of payment“ sind gefälscht. Die darin genannte Firma hat mit der E-Mail nichts zu tun!

Als Anlage kommen Dateien wie z. B. „(#14834912) Receipt.zip“ (wobei die Nummer in jeder E-Mail unterschiedlich ist). Im ZIP-Archiv befindet sich eine .hta-Datei wie z. B. BEHJ1625.hta oder BR3GKE4017.hta.

Von verschiedenen Domains wird der Verschlüsselungs- und Erpressungstrojaner „Locky“ nachgeladen, der als .dll-Datei auf dem System abgelegt wird (z. B. BsTVXmdKk1.dll, CgCVQtT1.dll u.v.m.)

  • abdulqadirmahar.com/746t3fg3
  • accentofficefurniture.co.nz/746t3fg3
  • afzalbaloch.comli.com/746t3fg3
  • agaoglu-mytown.com/746t3fg3
  • cardimax.com.ph/746t3fg3
  • deftr.com/746t3fg3
  • graybowolson.com/746t3fg3
  • grimkonde.net/746t3fg3
  • hrx.net.au/746t3fg3
  • infosunsystem.com/746t3fg3
  • lsnsoft.info/746t3fg3
  • micaraland.com/746t3fg3
  • muhammadyunus.org/746t3fg3
  • myownindia.com/746t3fg3
  • pvtltdregistration.com/746t3fg3
  • ringspo.com/746t3fg3
  • tvorbis.com.mk/746t3fg3
  • venussystems.in/746t3fg3
  • www.bujod.in/746t3fg3
  • www.e-media.in/746t3fg3

Virustotal zeigt eine Erkennungsrate von 10/57.

Nach der Verschlüsselung werden die typischen Hinweise angezeigt:

20160922_receipt_locky_bmp

20160922_receipt_locky_html

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.