Fax transmission: F-7239362134-1487469271-201611024847-6996.zip von FAX Service ([email protected])
Am Mittwoch, den 02. November 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Betreff: Fax transmission: F-7239362134-1487469271-201611024847-6996.zip
Absender: FAX Service ([email protected])Please find attached to this email a facsimile transmission we
have just received on your behalf(Do not reply to this email as any reply will not be read by
a real person)
Die E-Mail gibt vor, als Anlage sei ein Telefax beigefügt. Das stimmt aber nicht! In dem .zip-Archiv mit dem Namen „F-7239362134-1487469271-201611024847-6996.zip“ ist kein Telefax, sondern ein JavaScript („3658849946-1335564207-201611004129-1643.js“) enthalten, welches von der Domain discuzshop.com/kjg56f7?sacBcbL=cKCdns eine Datei nachlädt und als .dll-Datei auf dem Computer abspeichert (z. B. „qqbkpJwRE1.dll“).
Hierbei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 32/56.
Bei der Verschlüsselung werden viele Dateien in .thor umbenannt. Außerdem wird ein Hinweis auf die Verschlüsselung sowohl als Internetseite wie auch als Bild geöffnet:
Die Erpressung sieht dann wie folgt aus:
