60922 (Empfänger)
Am Donnerstag, den 24. November 2016 wurde durch unbekannte Dritte die folgende E-Mail versendet:
Achtung: Über den Anhang wird die Ransomware „Locky“ (Verschlüsselungs- und Erpressungstrojaner) nachgeladen, der alle Dateien auf dem Computer verschlüsselt und dabei in .zzzzz umbenennt!
Während „Locky“ am häufigsten über englische E-Mails versendet wird kommt er aber auch immer wieder mit diesen so gut wie leeren E-Mails, die nur eine Zahl und den Empfängernamen (den Teil der E-Mail-Adresse, der vor dem @-Zeichen steht) im Betreff enthält. Die Nachricht hat eine hohe Priorität und bringt eine Datei „INFO_(Zahl)_(Empfängername).zip“ mit.24
Das beigefügte ZIP-Archiv enthält eine weitere .zip-Datei mit dem Namen „EURO_23841_ZIP.zip“. Darin enthalten ist ein JavaScript „EURO_23841.js“, welches von der Domain www.asmeraled.top/log.php?f=2.dat eine Datei nachlädt („j62qs5vj8g.OcsNLfUh“). Dabei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Virustotal zeigt noch eine Erkennungsrate von 0/54.
Nach der Verschlüsselung werden die für „Locky“ typischen Meldungen angezeigt: