Scan from office, Document from office oder Photo from office

Achtung: Die folgende E-Mail vom Mittwoch, den 23. November 2016 verteilt die Ransomware „Locky“ (Verschlüsselungs- und Erpressungstrojaner).

20161123_locky_mail

Außer dem Betreff Photo (Document oder Scan) from office kommt die E-Mail ohne Inhalt. Lediglich ein zip-Archiv ist beigefügt, welches immer mit „IMG-“ anfängt, z. B.

  • IMG-06235513-WA0393.zip
  • IMG-10258579-WA0140.zip

Darin enthalten ist ein Script (.vbs), das z. B. wie folgt benannt ist:

  • 10551577-AB1078.vbs
  • 10908291-WO2170.vbs

Das Script lädt von unterschiedlichen Domains eine Datei:

  • mywoc.ca/988gd4
  • narutoshippuuden.org/988gd4
  • neco.com.tw/988gd4
  • nhadatok.com/988gd4
  • nicolesuter.ch/988gd4
  • notvital.ch/988gd4
  • ns1.linkaufseite.org/988gd4
  • nxguolu.net/988gd4
  • odnoklassniki.borec.cz/988gd4
  • omskhunter.com/988gd4
  • oscarsensini.com/988gd4
  • pablotheet.com/988gd4
  • pakage.com.au/988gd4
  • palsiraj.org/988gd4
  • paradigmenergycorp.com/988gd4
  • pasanglhamu.org/988gd4
  • pbank.es/988gd4
  • pbna.eu/988gd4
  • pespis.hu/988gd4
  • pest-ex.com.au/988gd4
  • photofj.net/988gd4
  • photos-ddehem.com/988gd4
  • pinna.be/988gd4
  • poker-vids.com/988gd4
  • popmail.jp/988gd4
  • prosirona.com/988gd4
  • pta-babel.net/988gd4
  • pureman.net/988gd4
  • raovat4u.com/988gd4
  • rapidnet.ir/988gd4
  • remstirmash42.ru/988gd4
  • rinascitaitaliana.it/988gd4
  • romanstars.com/988gd4

Die Datei wird unter jeweils einem neuen Namen mit der Endung .55 oder .552 auf dem Computer abgelegt und ausgeführt (z. B. fAOMYVD.55 und fAOMYVD.552) Es handelt sich hierbei um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 38/56.

Aktuell benennt „Locky“ alle Dateien nach der Verschlüsselung in .aesir um (z. B. 5837D607-F485-4727-63A0-C2AB118CB8D0.aesir). Außerdem zeigt er die bereits bekannten Hinweise:

20161123_locky_html

20161123_locky_bmp

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert