Wrong tracking number

Am Montag, den 31. Oktober 2016 (Halloween) wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20161031_wrong_tracking_number

Betreff: Wrong tracking number

It looks like the delivery company gave us the wrong tracking number.

Please contact them as soon as possible and ask them regarding the shipment number 302856 information attached.

Die englische E-Mail kommt mit unterschiedlichen Nummern. Sie bringt eine Datei wie z. B. „tracking_number_21cc1d495.zip“ oder „tracking_number_0e7f03c9.zip“ mit, die eine .vbs-Datei enthält (z. B. „tracking number 45913CF0 PDF.vbs“ oder „tracking number D36F3B PDF.vbs“).

Diese Dateien würden von unterschiedlichen Domains eine Datei nachladen wie z. B.

  • wayneboyce.com/u5ahu
  • eijsvogel.nl/gpbka1n2
  • elgrandia.com.mx/ginlp2f
  • waynesinew.com/67egbs

Die nachgeladene Datei wird als .dll-Datei auf dem Computer gespeichert und ausgeführt (z. B. „4hkxEG2ZEZkE0.dll“). Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 37/56.

Der Trojaner versucht auch noch mit der IP-Adresse 95.163.107.41/linuxsucks.php Daten auszutauschen. Während der Verschlüsselung werden viele Dateien in .thor umbekannt. Nach der Verschlüsselung erscheinen die typischen Hinweise:

20161031_wrong_locky_bmp

20161031_wrong_locky_html

 

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert