Bill overdue

Am Donnerstag, den 27. Oktober 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20161027_bill_overdue

Betreff: Bill overdue

This is from the Telephone Company to remind you that your bill is overdue.

Please see the attached bill for the fine charge.

Die englische E-Mail bringt ein .zip-Archiv mit, welches z. B. „detailed_bill_6b08a04.zip“ heißt. Darin enthalten ist ein Script mit dem Namen „detailed bill 29B38DE.vbs“.

Das Script lädt von der Domain dadaniu.cn/o1ws9s eine Datei und speichert diese als .dll-Datei auf dem Computer (z. B. „bGZkKb8tlvQuFa.dll“). Es handelt sich hierbei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 27/56.

Nach der Verschlüsselung nimmt der Trojaner noch mit 91.230.211.150/linuxsucks.php Kontakt auf. Alle Dateien werden bei der Verschlüsselung in .thor umbenannt. Außerdem erscheint ein Hinweis sowohl als Grafik wie auch als Internetseite:

20161027_bill_bmp

20161027_bill_html

 

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert