2709201617510860766.pdf
Am Dienstag, den 27. September 2016 wurde durch unbekannte Dritte die folgende E-Mail ohne Text und nur mit einer .zip-Datei als Anhang versendet:
Betreff: 2709201617510860766.pdf
Anlage: 2709201617510860766.pdf.zip
Die E-Mail kommt zwar mit einem Betreff „.pdf“, enthält als Anlage aber ein ZIP-Archiv. Darin enthalten ist eine .wsf-Datei wie z. B. C4XUGQW0538.wsf.
Von einer Domain wssunhui.com/78hceef?rRffpf=NrdcbOsmH wird eine Datei nachgeladen und als .dll-Datei (wie z. B. VNTDFBTzg1.dll) auf dem System abgespeichert und ausgeführt. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 9/57. Klicken Sie daher nicht auf die Anlage und führen Sie die darin enthaltene Datei nicht aus!
Die Ransomware speichert in der neuesten Version die beiden folgenden Dateien auf dem System ab:
- _HOWDO_text.bmp
- _HOWDO_text.html
Alle wichtigen Dateien werden nicht mehr in .zepto, sondern in .odin umbenannt:
Nach der Verschlüsselung werden weiterhin die typischen Meldungen angezeigt:
_| -+_.=+-*+
*+$=_-|-|.$+|
_*|- _-.*$|_!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://jhomitevd2abj3fk.tor2web.org/*****
2. http://jhomitevd2abj3fk.onion.to/*****Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: jhomitevd2abj3fk.onion/*****
4. Folgen Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!
|*.$|=$
|*$_=
.** _|-=
Die verlinkte Internetseite sieht wie folgt aus (und fordert 2 BitCoin):