Order #8377095

Kommentar hinterlassen

Am Donnerstag, den 08. Dezember 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

Betreff: Order #8377095
Hello (Empfänger), your order #8377095 for $63395663020883924971526033313959986602320888714777242903696389043392345473435266047073149765543032555267049242545303636063604319880829073113379710388349725670608948064266307661428851804182713440247653273170456502841683047863646914657832688181441425101970718431120315868727530647255984277386167005436605473490129155032596902383588501636591575254439249589895675205227765933363393118836415075770016573296806151556233399192832297864469539931721204686072890498085670706331772613826243374372282256186170545195472174128178680837037819550158495201817069302821754915926689784818668033097629470257108988937871924575733562516419510095054368585989898629953761077166439756799617102296028248034982330850452279872404671326 is delivered the destination.
Sending you the receipt. Please pay it prior to next week.

The receipt is in the attachment.
—–
Best Wishes,
Rupert Webster
Delivery Manager

Die E-Mail behauptet, eine Bestellung über einen enorm großen Betrag sei versendet worden und man hätte eine Woche, um die Ware zu bezahlen.

In der Anlage „order-8377095.zip“ ist aber ein JavaScript „~4VL3RH3ZJ2XE1535F23AIE88.js“ enthalten, welches von diversen Domains eine Datei nachlädt:

  • file4hosti.info/rwydy
  • travicoperu.com/xyis4o7
  • travelcompru.com/vuj6bs
  • umanware.it/3zp7d
  • unusualfinds.com/4gqrbb7d4t

Die Datei wird mit einem neuen Namen und der Endung „.zk“ auf dem Computer abgespeichert (z. B. eNW9fRRvf.zk). Es handelt sich dabei um die Ransomware „Locky“ (Verschlüsselungs- und Erpressungstrojaner), der das System verschlüsselt und viele Dateiformate in .osiris umbenennt. Virustotal zeigt eine Erkennungsrate von 17/56. Klicken Sie daher nicht auf die Anlage und führen Sie nicht das JavaScript aus!

 

Am Ende nimmt die Ransomware noch mit der IP-Adresse 185.46.11.236/checkupdate Kontakt auf. Außerdem werden die typischen Hinweise als Bild und Internetseite geöffnet:

 4

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert