2709201617510860766.pdf

Am Dienstag, den 27. September 2016 wurde durch unbekannte Dritte die folgende E-Mail ohne Text und nur mit einer .zip-Datei als Anhang versendet:

20160927_pdf

Betreff: 2709201617510860766.pdf

Anlage: 2709201617510860766.pdf.zip

Die E-Mail kommt zwar mit einem Betreff „.pdf“, enthält als Anlage aber ein ZIP-Archiv. Darin enthalten ist eine .wsf-Datei wie z. B. C4XUGQW0538.wsf.

Von einer Domain wssunhui.com/78hceef?rRffpf=NrdcbOsmH wird eine Datei nachgeladen und als .dll-Datei (wie z. B. VNTDFBTzg1.dll) auf dem System abgespeichert und ausgeführt. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 9/57. Klicken Sie daher nicht auf die Anlage und führen Sie die darin enthaltene Datei nicht aus!

Die Ransomware speichert in der neuesten Version die beiden folgenden Dateien auf dem System ab:

  • _HOWDO_text.bmp
  • _HOWDO_text.html

Alle wichtigen Dateien werden nicht mehr in .zepto, sondern in .odin umbenannt:

20160927_locky_odin

 

Nach der Verschlüsselung werden weiterhin die typischen Meldungen angezeigt:

20160927_locky_bmp

20160927_locky_html

_| -+_.=+-*+
*+$=_-|-|.$+|
_*|- _-.*$|_

!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://jhomitevd2abj3fk.tor2web.org/*****
2. http://jhomitevd2abj3fk.onion.to/*****

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: jhomitevd2abj3fk.onion/*****
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!
|*.$|=$
|*$_=
.** _|-=

 

Die verlinkte Internetseite sieht wie folgt aus (und fordert 2 BitCoin):

20160927_locky_web

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.