a picture for you, a photos for you oder Bill for papers 13-12-2016

Am Dienstag, den 13. Dezember 2016 wurden durch unbekannte Dritte die folgenden E-Mails in englischer Sprache versendet:

Betreff: a photos for you
scanned

 

Betreff: a picture for you
resized

 

Betreff: Bill for papers 13-12-2016

 

Achtung: Es handelt sich um betrügerische E-Mails! Diese laden die Ransomware „Locky“ nach, die das Computersystem verschlüsselt und Lösegeld fordert. Klicken Sie daher nicht auf die Anlagen und führen Sie die darin enthaltenen Dateien nicht aus!

Bei allen Anlagen handelt es sich um ZIP-Archive. Während die .zip-Dateien

  • 2016-12-7105.zip
  • 2016-12-69367.zip

eine .jse-Datei enthalten:

  • 2016-12-50333.jse
  • 2016-12-84127.jse

bringt die „Bill.zip“ eine .wsf-Datei mit:

  • 790-ICPE0445.wsf
  • 804-OJWG0026.wsf

In allen Fällen wird von unterschiedlichen Domains eine Datei nachgeladen:

  • winawoof.com/knby545?pCxyKc=XFmGFsGxbw
  • rktest.net/knby545?pCxyKc=XFmGFsGxbw
  • prototypingjob.com/jht76gh?cNRRDcjj=aaYrvknR
  • remontim.pl/jht76gh?zAbHaY=NxmCfJMgXP

Die Datei wird als .dll-Datei auf dem Computer abgespeichert. Es handelt sich dabei um „Locky“ (Verschlüsselungs- und Erpressungstrojaner), der alle Dateien verschlüsselt und in .osiris umbenennt. Während Virustotal z. B. für die glWAxkauz1.dll aus den angeblichen Fotos eine Erkennungsrate von 10/54 zeigt, liegt die Erkennungsrate aus der Rechnung (Bill.zip) bereits bei 29/56.

 

Nach der Verschlüsselung werden die typischen Hinweise als Bild (.bmp) und als Internetseite (.htm) angezeigt:

 

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert