Temporarily blocked

Am Donnerstag, den 29. September 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160929_temporarily_blocked

Betreff: Temporarily blocked
Dear (Benutzer),

this is to inform you that your Debit Card is temporarily blocked as there were unknown transactions made today.

We attached the scan of transactions. Please confirm whether you made these transactions.

King regards,
Cathleen Mcconnell
Technical Manager – Online Banking
e-mail: [email protected]

Die E-Mail kommt mit einem .ZIP-Archiv, welches z. B. wie folgt lautet:

  • debit_card_c225cb4.zip
  • debit_card_b1413679.zip

Darin enthalten sind jeweils zwei Dateien. Zum einen eine Datei mit nur einem Buchstaben als Namen wie z. B. 1 oder Z. Des weiteren eine .wsf-Datei wie z. B.

  • debit card details 32FC66.wsf
  • debit card details 95A85F8.wsf

Von diversen Domains wird eine Datei nachgeladen.

  • unwantedtattoos.co.uk/e1mbgfej
  • fhgmediaent.com/66aslu
  • abbiholland.com/f5ioimw
  • ogeedfungo.net/0zqoae
  • aldohuaman.com/52y3am
  • kayooo.net/67mxndh
  • redegamb.com/25fkt
  • exonbalai.com/1r1y6so
  • supplyglassess.com/gbnfsmh

Die nachgeladene Datei wird als .dll – Datei auf dem System abgelegt. Die Namen lauten z. B.

  • sfDUG6Wj6iWu1Zf.dll
  • SwG8aBgcr9MEF6Eo.dll

Es handelt sich dabei um die Ransomware / den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 23/57. Klicken Sie daher nicht auf die Anlage und führen Sie den Inhalt nicht aus!

 

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.