Urgent Data: Ransomware „Locky“ wechselt Dateiendung von .zzzzz in .osiris

Achtung: Am Nikolaustag, dem 06. Dezember 2016 wurde durch unbekannte Dritte die folgende E-Mail versendet. Sie lädt die Ransomware „Locky“ nach, die das Computersystem verschlüsselt und die Dateien dabei in .osiris umbenennt (bisher .zzzzz).

20161206_urgent_data

Betreff: Urgent Data

Dear (Empfänger),

The error occurred during payment. Sending you details of the transaction.
Please pay the remaining amount as soon as possible.

King Regards,
Catalina Wilcox

Der E-Mail ist – wie bisher – ein ZIP-Archiv beigefügt. Diesmal lautet es z. B.

  • payment4509826.zip
  • payment6340296.zip

Darin enthalten ist jeweils ein JavaScript, welches z. B. wie folgt lautet:

  • ~844JU06D53.js
  • ~27958C4Z9SI9.js

Von unterschiedlichen Domains wird eine Datei nachgeladen:

  • tzabanga.com/wcxu85pg
  • phaleshop.com/rff6avoy

Diese Datei wird als .zk-Datei auf dem System abgelegt. Die Dateinamen lauten z. B.

  • p10AW24KT.zk
  • qhxFcvqvNP3mqdQb.zk

Am Ende der Verschlüsselung sendet der Trojaner Daten an die IP-Adresse 95.46.114.147/checkupdate

Bei der Verschlüsselung benennt er Dateien in .osiris um:

20161206_locky_osiris

5837D607–F485–4727–B7E7FA51–4A1747563C4D.osiris

Außerdem zeigt er zwar seinen Hinweis, diesmal lautet der Dateiname aber „DesktopISIRIS.htm“:

20161206_locky_html

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.