complaint letter

Am Mittwoch, den 05. Oktober 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20161005_complaint_letter

Betreff: complaint letter

Dear (Empfänger), client sent a complaint letter regarding the data file you provided.

The letter is attached. Please review his concerns carefully and reply him as soon as possible.
King regards,
Carey Kerr

Achtung: Klicken Sie nicht auf die Anlage und öffnen Sie diese nicht! Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware)!

Der E-Mail ist ein .zip-Archiv beigefügt:

20161005_complaint_letter_zip

  • complaint_letter_87bfc13.zip

 

Darin sind zwei Dateien enthalten:

20161005_complaint_letter_wsf

  • complaint letter BD031D.wsf
  • j

 

Die .wsf-Datei lädt von unterschiedlichen Domains eine Datei nach:

  • pattumalamatha.com/e7r2v1t
  • nuntatimisoara.com/ekrc0i6

 

Diese Datei wird zunächst ohne Dateiendung, dann aber als .dll-Datei auf dem System abgespeichert:

20161005_complaint_letter_dll

  • a5zW8bObJ
  • a5zW8bObJ.dll
  • A5ZW8B~1.DLL.txt

 

Virustotal zeigt eine Erkennungsrate von 13/56.
Nach der Ausführung der o. g. Datei werden viele Dateiformate verschlüsselt und sind später nur noch als .odin-Datei auf dem PC zu finden. Ergänzend dazu befinden sich zwei neue Dateien auf dem System:
20161005_locky_odin

  • _0_HOWDO_text.html
  • _HOWDO_text.bmp
  • _HOWDO_text.html

 

Die beiden neuen Dateien werden auch gleich geöffnet und zeigen einen Hinweis über die Verschlüsselung des Computers:

20161005_locky_bmp

20161005_locky_html

+|.$*..-+-=-|+$ _|
$_++$ $
|+=$__*$._–*+__

!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSAdkönnen Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm, welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://jhomitevd2abj3fk.tor2web.org/*****
2. http://jhomitevd2abj3fk.onion.to/*****

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: jhomitevd2abj3fk.onion/*****
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!
.+_.-

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert