Clients accounts

Am Dienstag, den 27. September 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160927_clients_accounts

Betreff: Clients accounts

Dear (Benutzername),

I attached the clients‘ accounts for your next operation.

Please look through them and collect their data. I expect to hear from you soon.

Lucinda Macdonald
nt of Business Development
Tel.: (732) 993-50-20

Die E-Mail bringt eine .zip-Datei mit, die eine .wsf-Datei enthält. Achtung: Es ist eine doppelte Dateiendung vorhanden. Es könnte der Eindruck entstehen, es würde sich um eine Excel-Tabelle handeln (xls.wsf, z. B. Clients accounts 88DBD xls.wsf). Daneben wird noch eine weitere Datei mitgebracht, die nur aus einem Zeichen (z. B. „J“) besteht.

Von einer Domain wird der Verschlüsselungs- und Erpressungstrojaner „Locky“ nachgeladen:

  • offshegoes.ca/pqj419g2

Klicken Sie daher nicht auf die Anlage und führen Sie das darin enthaltene Programm nicht aus!

Virustotal zeigt eine Erkennungsrate von 16/57. Auch wenn einige der erkannten Programme als „Zepto“ bezeichnet werden, das Programm benennt alle Dateien inzwischen in .odin um.

 

Nach der Verschlüsselung erscheinen die „Locky“-typischen Meldungen:

20160927_clients_bmp

20160927_clients_html

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert