Temporarily blocked
Am Donnerstag, den 29. September 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Betreff: Temporarily blocked
Dear (Benutzer),this is to inform you that your Debit Card is temporarily blocked as there were unknown transactions made today.
We attached the scan of transactions. Please confirm whether you made these transactions.
King regards,
Cathleen Mcconnell
Technical Manager – Online Banking
e-mail: [email protected]
Die E-Mail kommt mit einem .ZIP-Archiv, welches z. B. wie folgt lautet:
- debit_card_c225cb4.zip
- debit_card_b1413679.zip
Darin enthalten sind jeweils zwei Dateien. Zum einen eine Datei mit nur einem Buchstaben als Namen wie z. B. 1 oder Z. Des weiteren eine .wsf-Datei wie z. B.
- debit card details 32FC66.wsf
- debit card details 95A85F8.wsf
Von diversen Domains wird eine Datei nachgeladen.
- unwantedtattoos.co.uk/e1mbgfej
- fhgmediaent.com/66aslu
- abbiholland.com/f5ioimw
- ogeedfungo.net/0zqoae
- aldohuaman.com/52y3am
- kayooo.net/67mxndh
- redegamb.com/25fkt
- exonbalai.com/1r1y6so
- supplyglassess.com/gbnfsmh
Die nachgeladene Datei wird als .dll – Datei auf dem System abgelegt. Die Namen lauten z. B.
- sfDUG6Wj6iWu1Zf.dll
- SwG8aBgcr9MEF6Eo.dll
Es handelt sich dabei um die Ransomware / den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 23/57. Klicken Sie daher nicht auf die Anlage und führen Sie den Inhalt nicht aus!