25655 (Empfängername)
Am Samstag, den 12. November 2016 wurde durch unbekannte Dritte die folgende E-Mail versendet:
Die E-Mail mit dem Betreff „25655 (Empfängername)“ bringt ein .zip-Archiv mit dem Namen „MESSAGE_726635284968066_(Empfängername).zip“ mit. Darin enthalten ist wieder eine .zip-Datei mit dem Namen „SHOP_336_ZIP.zip“, welches ein JavaScript mit dem Namen „SHOP_336.js“ enthält.
Das JavaScript lädt von der Domain www.parametersnj.top/user.php?f=1.dat eine Datei nach und speichert diese als „bihvQX7DZXfFNm66u.p2S“. Es handelt sich hierbei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Die Erkennungsrate liegt laut Virustotal derzeit bei 0/54.
Der Trojaner sendet auch Daten an 107.181.174.34/message.php
Nach der Verschlüsselung (viele Dateien werden in *.thor umbenannt) werden die folgenden Dateien angezeigt: