Parcel details von DHL

Am Freitag, den 30. September 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160930_parcel_details

Betreff: Parcel details von DHL
Absender: DHL ([email protected])

Dear (Benutzer),

We couldn’t deliver your parcel on September 30th because we couldn’t verify the given address.

Attached is the shipment label. Please print it out to take the parcel from our office.

Label-ID: 8ab4fb56c0484c6340fdf59f02dcc43ab7d6abca018b3808ac2da1505e86
Best Wishes,
Hattie Byers
DHL Express Service

Die verwendeten Absenderadressen unterscheiden sich. Es ist allerdings immer der Absendername „DHL“ angegeben. Auch die in der E-Mail genannte Label-ID und der Name in der Grußformel unterscheiden sich.

Hier drei Label-IDs als Beispiel:

  • 8ab4fb56c0484c6340fdf59f02dcc43ab7d6abca018b3808ac2da1505e86
  • 18c595388a1ac6a5ea2f4f0c7685fb2f61d80a64749235c77f
  • 00c28d90c2b23e7da2474764ae1d730719f002bcac2aad9f3f

Und hier drei der genannten Namen als Beispiel:

Den E-Mails ist eine Datei im .zip-Format beigefügt, die mit „DHL_parcel“ anfängt:

  • DHL_parcel_0b1d64a.zip
  • DHL_parcel_7c0cf2a.zip
  • DHL_parcel_70c85bfa.zip

In diesem ZIP-Archiv sind jeweils zwei Dateien enthalten. Neben einer Datei mit nur einem Buchstaben (z. B. „g“ oder „z“) sind folgende Dateinamen enthalten (Beispiele):

  • DHL parcel 90AD4E3.wsf
  • DHL parcel D45F812.wsf

Von unterschiedlichen Adressen wie z. B.

  • copsro.sk/jlcz2sal
  • lust-vodka.com/fom7aof
  • unityquire.com/1nloic

wird die Ransomware „Locky“ nachgeladen und als .dll-Datei auf dem Computer abgelegt (z. B. xi5VY4ZTi0C.dll oder BUoHAjCf.dll). Virustotal zeigt eine Erkennungsrate von 11/57.

 

 

 

Die meisten Dateien werden dabei in .odin-Dateien umbenannt:

20160930_receipt_dateien

 

Nach der Verschlüsselung wird sowohl eine Internetseite (.html-Seite) mit einer entsprechenden Meldung geöffnet, wie auch ein Bild (.bmp-Datei).

20160930_receipt_bmp

20160930_receipt_html

+.$| – =_._
|.*.+-|+=-+.|=+*=
=$*+-.++_-=$$.._
+==_=-

!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://jhomitevd2abj3fk.tor2web.org/****
2. http://jhomitevd2abj3fk.onion.to/****

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1.
LadencSiea
einenbToreBrowser herunter und
installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: jhomitevd2abj3fk.onion/****
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: **** !!!

+=+= ==-+_|=
$=_|**|. ==$
=.+.+*
-__ *= $*.+$-

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.