Scan from office, Document from office oder Photo from office
Achtung: Die folgende E-Mail vom Mittwoch, den 23. November 2016 verteilt die Ransomware „Locky“ (Verschlüsselungs- und Erpressungstrojaner).
Außer dem Betreff Photo (Document oder Scan) from office kommt die E-Mail ohne Inhalt. Lediglich ein zip-Archiv ist beigefügt, welches immer mit „IMG-“ anfängt, z. B.
- IMG-06235513-WA0393.zip
- IMG-10258579-WA0140.zip
Darin enthalten ist ein Script (.vbs), das z. B. wie folgt benannt ist:
- 10551577-AB1078.vbs
- 10908291-WO2170.vbs
Das Script lädt von unterschiedlichen Domains eine Datei:
- mywoc.ca/988gd4
- narutoshippuuden.org/988gd4
- neco.com.tw/988gd4
- nhadatok.com/988gd4
- nicolesuter.ch/988gd4
- notvital.ch/988gd4
- ns1.linkaufseite.org/988gd4
- nxguolu.net/988gd4
- odnoklassniki.borec.cz/988gd4
- omskhunter.com/988gd4
- oscarsensini.com/988gd4
- pablotheet.com/988gd4
- pakage.com.au/988gd4
- palsiraj.org/988gd4
- paradigmenergycorp.com/988gd4
- pasanglhamu.org/988gd4
- pbank.es/988gd4
- pbna.eu/988gd4
- pespis.hu/988gd4
- pest-ex.com.au/988gd4
- photofj.net/988gd4
- photos-ddehem.com/988gd4
- pinna.be/988gd4
- poker-vids.com/988gd4
- popmail.jp/988gd4
- prosirona.com/988gd4
- pta-babel.net/988gd4
- pureman.net/988gd4
- raovat4u.com/988gd4
- rapidnet.ir/988gd4
- remstirmash42.ru/988gd4
- rinascitaitaliana.it/988gd4
- romanstars.com/988gd4
Die Datei wird unter jeweils einem neuen Namen mit der Endung .55 oder .552 auf dem Computer abgelegt und ausgeführt (z. B. fAOMYVD.55 und fAOMYVD.552) Es handelt sich hierbei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 38/56.
Aktuell benennt „Locky“ alle Dateien nach der Verschlüsselung in .aesir um (z. B. 5837D607-F485-4727-63A0-C2AB118CB8D0.aesir). Außerdem zeigt er die bereits bekannten Hinweise:
