Payment

Am Mittwoch, den 28. September 2016 und Donnerstag, den 29. September 2016 wurden durch unbekannte Dritte die folgenden E-Mails in englischer Sprache versendet:

Betreff: Payment

Dear (Benutzer), thanks for working with us.
We are sending the contract that we agreed on last week.
Please read through the attachment and return us the scan of the signed contract.
King regards,
Kerry Chase
Vice President of Operations
e-mail: [email protected]

 

Betreff: Payment

 

Dear (Benutzer),

You are receiving this email because the company has assigned you as part of the approval team.
Please review the attached proposal form and make your approval decision.

If you have any problem regarding the submission, please contact Ursula.

Best regards,
Truman Curtis
Head of Non-Processing Infrastructure

Die E-Mail bringt eine .zip-Datei mit, die wie folgt lauten kann:

• contract_scan_06047227.zip
• contract_scan_f0810e23.zip
• proposal_form_682e8716b.zip

Im ZIP-Archiv ist eine .wsf-Datei enthalten, die z. B. wie folgt lautet:

• contract scan 6509AC1.wsf
• contract scan DE3D19.wsf
• proposal form BE41B1 pdf.wsf

Daneben befindet sich im ZIP-Archiv eine weitere Datei, deren Name nur aus einem Buchstaben besteht wie z. B.

• r
• K
• m

Von unterschiedlichen Domains werden Dateien nachgeladen wie z. B.

• taitong.info/mmrw4p
• inform-ug.ru/cysmq
• izmirisgb.com/dknjf

Diese Dateien werden auf dem Computer als .dll-Datei abgelegt und ausgeführt. Die Dateinamen lauten z. B.

• 0FFX9mReu.dll
• GZ2w1IbT5fZJ.dll
• lvcnql5bG0.dll

 

Dabei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 24/57. Klicken Sie daher nicht auf die Anlage und öffnen Sie diese nicht!

Nach der Verschlüsselung werden die typischen Meldungen als Internetseite sowie Bild angezeigt. Hier die .bmp-Datei als Beispiel:

Kommentar(e)