contact information
Am Mittwoch, den 05. Oktober 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Betreff: contact information
Please visit the client tomorrow from the contact information attached.
Make sure you get there on time.
Best regards,
Angelita Santiago
Die englische E-Mail behauptet, in der Anlage würden sich Kontaktdaten (eine Visitenkarte) befinden. Das stimmt aber nicht. Auch wenn die Buchstaben „vcf“ im Dateinamen enthalten sind, so endet der Dateiname immer noch auf „.zip“. Daher ist es keine Visitenkarte, sondern ein ZIP-Archiv.
Die Dateinamen lauten z. B.
- contact_vcf_a8622132.zip
- contact_vcf_7521af90c.zip
Im ZIP-Archiv sind jeweils zwei Dateien enthalten wie z. B.
- contact_vcf_9BD65F16.wsf
- contact_vcf_CC68F.wsf
- L
- S
Die .wsf-Dateien laden von unterschiedlichen Domains eine Datei nach:
- rimpro.ru/r8695d
- vr-speed.com/rw5u4ija
- amhartufa.net/3fkuq
Diese wird als .dll-Datei auf dem Computer abgelegt:
- 7oLMIJJr.dll
- oTw5Pnta82NG.dll
Das gleiche Verhalten / die gleiche Ransomware haben zuletzt auch die folgenden E-Mails mitgebracht:
- 04.10.2016 Refund von DHL Express, Schenker AG, Japan Post Group oder anderen
- 03.10.2016 Travel Itinerary von Asiana Airlines, Thai Airways, Qatar Airways oder anderen
- 03.10.2016 please sign
- 30.09.2016 Parcel details von DHL
- 30.09.2016 Receipt 67332-527
- 29.09.2016 Temporarily blocked
- 28.09.2016 Payment
- 27.09.2016 Clients accounts
- 27.09.2016 2709201617510860766.pdf
- und viele mehr