unauthorized access

Am Donnerstag, den 10. November 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20161110_locky1_email

Betreff: unauthorized access

Our technical support service has detected unauthorized access to your account.

Due to that, we had to block your account until you confirm your personal information.
To do so, please follow the instructions in the attachment.

Best Regards,
Lesley Blanchard
Technical Support

Achtung: Es handelt sich um eine betrügerische E-Mail! Sie lädt den Verschlüsselungs- und Erpressungstrojaner „Locky“ nach! Öffnen Sie daher nicht die Anlage!

Die E-Mail bringt eine Anlage im .zip-Format mit. Diese lautet „account_(Empfängername).zip“. Im .zip-Archiv ist ein JavaScript, welches z. B. wie folgt lautet:

  • -QF88U85C9H0-.js
  • -M0WO9E4B220-.js

Das JavaScript lädt von verschiedenen Domains eine Datei nach:

  • globaldoctors.asia/lzsyu
  • activedd.net/jwajv6c
  • cussocrane.net/6rpdgx88
  • bj-fzwb.com/jl19nc
  • droolunkin.net/68ebze29
  • g2cteknoloji.com/vrirs
  • dalezohak.com/5icsxofi
  • crapevadim.net/5rnyr6
  • gruppoeslabon.com.ph/uxm7f6
  • geist.fr/uizvqih

Die nachgeladene Datei wird als .dll-Datei auf dem Computer gespeichert (z. B. „vkezpNBS9lax0.dll“). Hierbei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“, der alle Dateien verschlüsselt und in .thor umbenennt.

Danach wird ein Hinweis auf die Verschlüsselung angezeigt:

20161110_locky1_html

20161110_locky1_bmp

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert