Your Order

Die Ransomware „Locky“ (Verschlüsselungs- und Erpressungstrojaner) wird am Donnerstag, den 06. Oktober 2016 durch unbekannte Dritte über englische E-Mails mit dem Betreff „Your Order“ versendet:

20161006_your_order

Betreff: Your Order
Your order has been proceeded. Attached is the invoice for your order A-5383020.
Kindly keep the slip in case you would like to return or state your product’s warranty.

Die E-Mail wird mit unterschiedlichen Absenderangaben versendet und enthält unterschiedliche Order-Nummern. Als Anlage ist ein .zip-Archiv beigefügt:

  • order_details_acae2825a.zip
  • order_details_edcda8363.zip

 

In diesem Archiv ist ein JavaScript sowie eine Datei ohne Dateiendung enthalten wie z. B.

  • Cancellation Form 821A8D.js
  • Cancellation Form F2D13F4.js
  • c
  • N

 

Das JavaScript lädt von unterschiedlichen Domains eine Datei bzw. sendet Daten an eine der Domains:

  • feuduprid.com/1xrdgx1j
  • fifieoho.com/74uf3
  • senawhlqiyl.biz/apache_handler.php

 

Die nachgeladene Datei bekommt unterschiedliche Dateinamen, wobei die .dll-Datei anschließend ausgeführt wird:

  • NRJZLO~1.DLL.txt
  • nRjzLoP8i
  • nRjzLoP8i.dll
  • xrfg4pUB
  • xrfg4pUB.dll
  • xrfg4pUB.dll.txt

 

Es handelt sich hierbei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 19/56.

 

Auf dem Computer werden viele Dateien verschlüsselt und dabei in .odin umbenannt:

20161006_your_order_odin

  • _0_HOWDO_text.html
  • 4A56HX7M-FKM0-531E-0A14-8BA90AE03915.odin
  • 4A56HX7M-FKM0-531E-9D2A-8273620639B4.odin
  • 4A56HX7M-FKM0-531E-57A4-9173BFCEC142.odin
  • 4A56HX7M-FKM0-531E-357F-F7EDDA406944.odin

 

Anschließend wird sowohl als Bild wie auch als Internetseite ein Hinweis eingeblendet:

20161006_your_order_bmp

20161006_your_order_html

+.*+=+-*$*|+-|=_
$=$| -=- +_*
**+ |*$$-_.=_. -$

!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. http://jhomitevd2abj3fk.tor2web.org/****
2. http://jhomitevd2abj3fk.onion.to/****

If alle of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the addressebar: jhomitevd2abj3fk.onion/****
4. Follow the instructions on the site.

!!! Your personal identification ID: **** !!!
.=-$$.
=_**+_.| $+._$
|=++ $||.**–.* +=$

 

Die verlinkte Internetseite zeigt eine Geldforderung über 3 BitCoin (teilweise ist diese Seite nur über einen TOR-Browser aufrufbar):

20161006_your_order_web

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.