Bill

Am Donnerstag, den 03. November 2016 wurden durch unbekannte Dritte die folgenden E-Mails in englischer Sprache versendet:

20161103_bill

Betreff: Bill
Dear (Empfänger)

To continue using our maintenance service, please pay for last month’s fee by 4th of November.

The bill is attached in the email.
Please keep it for later purposes.

King Regards,
David Trevino

Die englische E-Mail mit dem Betreff „Bill“ bringt eine Anlage „november_bill_(verschiedene Zeichen).zip“ mit, die eine Datei „TN (verschiedene Zeichen).vbs“ enthält. Das Script lädt von diversen Domains verschiedene Dateinamen:

  • 4sahai.com/jzp807p1
  • administrategia.com/a7zwponu
  • ash-bee.com/v29trk9y
  • aurora.cdl-sc.org.br/gj789z
  • autocata.ro/kmh8lkkc
  • bankdanych.com/dtmc34
  • bewcon.co.th/hhh7pb
  • bigwintour.com/mq7v4fft
  • bocris.ro/d22eop2
  • bustbomb.com/n24y68w
  • canstore.ca/ptx5ti
  • cantongarden.ca/wtdr8sbb
  • caparol.ge/m81xnflo
  • centre-apple.ru/cy1lif
  • communicado.nl/x6wyj4c
  • crabtour.com/mvbh0
  • davidart.com.tw/haa4vt4u
  • dbtctep.gov.in/m6ks2
  • dingeabyss.com/041whiz
  • dingeabyss.com/1jawie
  • dingeabyss.com/2hkv4pb
  • dingeabyss.com/62fdz
  • dpsobryte.pl/id896djp
  • draaksteken.nl/k6eiy
  • econopaginas.com/b03ql8u
  • expomec.com/wpou77e1
  • gibelcredo.com/1efdaw
  • gibelcredo.com/2a5f5ru
  • gibelcredo.com/43omvf1e
  • iachovski.com/c0ssh
  • kmdbpj.com/aou69r
  • mergrain.com/asxx87
  • nucingulf.com/4onbw55b
  • parsasco.net/93wiky
  • pesadicot.net/0js0me
  • pesadicot.net/3tx5d4
  • pesadicot.net/6ro8j
  • sehyokette.net/0fxt87
  • sehyokette.net/1t6ywcjb
  • sonajp.com/iy6mwurl
  • werix.sk/ad41l1
  • www.crabtour.com/mvbh0

Die Dateien werden auf dem Computer als .dll-Datei gespeichert (z. B. „opIRtW61zizxJ0.dll“). Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 11/56.

Bei der Verschlüsselung werden viele Dateien in .thor umbenannt. Außerdem wird ein Hinweis auf die Verschlüsselung sowohl als Internetseite wie auch als Bild geöffnet:

20161103_locky_html

_$ $|.

!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow on of the links:
1. http://mwddgguaa5rj7b54.tor2web.org/****
2. http://mwddgguaa5rj7b54.onion.to/****

If all of this addressea are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the addressebar: mwddgguaa5rj7b54.onion/*****
4. Follow the instructions on the site.

!!! Your personal identification ID: **** !!!

.+=$-*$$|=$.*+$_ |
$+_-+**=
||. ++
$.$__$*=

20161103_locky_bmp

 

Die Erpressung sieht dann wie folgt aus:

20161103_locky_web

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert