25655 (Empfängername)

Am Samstag, den 12. November 2016 wurde durch unbekannte Dritte die folgende E-Mail versendet:

20161112_25655

Die E-Mail mit dem Betreff „25655 (Empfängername)“ bringt ein .zip-Archiv mit dem Namen „MESSAGE_726635284968066_(Empfängername).zip“ mit. Darin enthalten ist wieder eine .zip-Datei mit dem Namen „SHOP_336_ZIP.zip“, welches ein JavaScript mit dem Namen „SHOP_336.js“ enthält.

Das JavaScript lädt von der Domain www.parametersnj.top/user.php?f=1.dat eine Datei nach und speichert diese als „bihvQX7DZXfFNm66u.p2S“. Es handelt sich hierbei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Die Erkennungsrate liegt laut Virustotal derzeit bei 0/54.

Der Trojaner sendet auch Daten an 107.181.174.34/message.php

 

Nach der Verschlüsselung (viele Dateien werden in *.thor umbenannt) werden die folgenden Dateien angezeigt:

20161112_25655_bmp

20161112_25655_html

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.