A/C 000008897 – Overdue Invoice

Am Freitag, den 25. November 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet. Achtung: Der Anhang lädt den Verschlüsselungs- und Erpressungstrojaner „Locky“ nach, der alle Dateien verschlüsselt und dabei in .zzzzz umbenennt!

20161125_overdue_invoice

Betreff: A/C 000008897 – Overdue Invoice
Absender: BOUCHER, JESSIE ([email protected])

Good Morning,

Please see attached invoice

The balance of ¡384.11 is overdue for payment, please can you confirm a payment date?

Kind Regards,

JESSIE Wood on behalf of Gail Russell
Credit Services
Macmillan Distribution MDL
Direct Line 0044 1256 302661
Direct Fax 0044 1256 363223
[email protected]
www.macmillandistribution.co.uk

Die englische E-Mail bringt ein ZIP-Archiv „Documents Requested.zip“ mit. Darin enthalten ist ein .vbs-Script („VCurLHC2249.vbs“). Dieses Script lädt von der Domain square100.com/8yneev eine Datei nach und speichert diese mit der Endung .55 und .552 auf dem Rechner:

  • KdHiXioeQ.55
  • KdHiXioeQ.552

Es handelt sich dabei um die Ransomware „Locky“, die alle Dateien verschlüsselt und anschließend in .zzzzz umbenennt. Virustotal zeigt eine Erkennungsrate von 23/56.

 

Nach der Verschlüsselung werden die Dateien „-INSTRUCTION.html“ und „-INSTRUCTION.bmp“ geöffnet, die „Locky“ zuvor auf dem Desktop anlegt:

20161125_overdue_locky_html

20161125_overdue_locky_bmp

 

Im TOR-Browser würde die genannte Adresse folgende Forderung anzeigen:

20161125_overdue_locky_web

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert