Wrong model: Ransomware „Locky“ wechselt erneut die Dateiendung der verschlüsselten Datei, diesmal von „.shit“ in „.thor“

Kommentar hinterlassen

Erst gestern hat die Ransomware „Locky“ (Verschlüsselungs- und Erpressungstrojaner) die Dateiendung der verschlüsselten Dateien von „.odin“ in „.shit“ geändert (siehe Warnung „Complaint letter“ vom 24.10.2016).

Heute kommt „Locky“ erneut mit einer neuen Dateiendung: „.thor“

Hier das Beispiel einer durch unbekannte Dritte versendeten englischen E-Mail vom Dienstag, den 25. Oktober 2016:

20161025_wrong_model

Betreff: Wrong model
We apologize for sending the wrong model of the product yesterday.

Attached is the new invoice for your product No. 931304062.

Die E-Mail kommt mit einem .zip-Archiv, welches z. B. „fixed_invoice_fdb51337.zip“ lautet (die Buchstaben / Zahlen am Ende des Dateinamen sind unterschiedlich). Darin enthalten ist ein Script mit dem Namen „fixed invoice D421FB0.vbs“ (auch hier sind die Zahlen / Buchstaben am Ende des Dateinamen unterschiedlich).

Das Script lädt von unterschiedlichen Domains eines Datei:

 

  • alamanconsulting.at/v1a0u7
  • weenblast.net/02nxl
  • www.alamanconsulting.at/v1a0u7
  • cnvat.net/uwmrgt0b
  • weenblast.net/4ki90
  • ayso722.org/ntjaulru
  • astloot.com/1i2u1a
  • alamanconsulting.at/v1a0u7
  • dexingtang120.com/v50m7cpv
  • glaikdylan.net/4etu4
  • www.alamanconsulting.at/v1a0u7

Die Datei wird als .dll – Datei auf dem Computer abgespeichert und zur Ausführung gebracht (z. B. 2nKfHrSkW9Q.dll).

Nach der Verschlüsselung sind viele Dateien nur noch als „.thor“ auf dem System zu finden:

20161025_wrong_model_thor

  • 5837D607-F485-4727-CF6A-A478B9557A21.thor
  • 5837D607-F485-4727-C1AA-82054D4B61C2.thor
  • 5837D607-F485-4727-A104-5C98AFB93179.thor
  • 5837D607-F485-4727-A89F-C42168E2B90B.thor

Daneben wird auf dem Desktop je eine „_WHAT_is.bmp“ und „_WHAT_is.html“ angelegt.

20161025_wrong_model_what

Die beiden Dateien informieren über die Verschlüsselung:

20161025_wrong_model_bmp

20161025_wrong_model_html

*_***+* = |.-.
_ $$.|-*=-_$=.
= .$_$.**|

!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSAdkönnen Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm, welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:
1. http://jhomitevd2abj3fk.tor2web.org/*****
2. http://jhomitevd2abj3fk.onion.to/*****

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: jhomitevd2abj3fk.onion/*****
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!

-_—-_$$
*-_++ _+_+ ||-=*|
.=.=$ $._=$.+_|.-+

 

Die verlinkte Internetseite fordert 2 BitCoin:

 

20161025_wrong_model_web

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert