Ihre aktuelle Rechnung von O2 ([email protected])
Wie bereits am 02.02.2017 in der E-Mail „Ihre aktuelle Rechnung von O2 ([email protected] oder [email protected])“ so wurde auch am Mittwoch, den 08. Februar 2017 durch unbekannte Dritte die folgende gefälschte E-Mail in deutscher Sprache versendet. Achtung: Der Link lädt den Verschlüsselungs- und Erpressungstrojaner „CryptoLocker“ (Ransomware). Klicken Sie deswegen nicht auf den Link und führen Sie das Programm nicht aus!
Betreff: Ihre aktuelle Rechnung
Absender: O2 ([email protected])o2 – Ihre aktuelle Rechnung
Ihre aktuelle Rechnung für den Abrechnungszeitraum 07.01.2016 – 07.02.2017 liegt für Sie bereit. Darin wird für Ihre Kundennummer 08197780 ein Gesamtbetrag von 199,95 EUR ausgewiesen.
Der offene Rechnungsbetrag wird von Ihrem Konto am 07.02.2017 eingezogen.Laden Sie die Rechnung
Officer
Michiel van Eldik
Chief Marketing Officer
Telefónica Germany GmbH & Co. OHG
Achtung: Es handelt sich um eine gefälschte E-Mail! Die E-Mail wurde nicht von o2 versendet! o2 bzw. die Telefónica Germany GmbH & Co. OHG hat mit der E-Mail nichts zu tun! Klicken Sie deswegen nicht auf den Link!
Der Link führt auf die Domain kite4life.ru/kEeSGP/GtmSIy7bAlUDOe.php?id= und übermittelt die E-Mail-Adresse des Empfängers gleich mit an den Server. Klicken Sie schon deswegen nicht auf den Link, da die Absender Ihre Adresse sonst als aktive Adresse verifizieren können!
Die verlinkten Domain leiten auf andere Adressen weiter wie z. B. dxr.o2-downloader.org/bggvqnn.php?id=
Die betrügerische Seite würde – passend zur E-Mail – das Logo von o2 anzeigen und darauf hinweisen, dass innerhalb weniger Sekunden ein Download startet:
o2
Ihr Download sollte innerhalb von 3 Sekunden beginnen.
Wenn nicht, klicken Sie hier um ihn erneut zu starten.
Danach öffnet sich ein Fenster, in dem die Datei direkt geöffnet oder gespeichert werden kann. Brechen Sie die Aktion ab! Mit Hilfe der Datei wird später die Ransomware „CryptoLocker“ nachgeladen!
Sie möchten folgende Datei öffnen:
rechnung.zip
Vom Typ: Compressed (zipped) Folder (4,5 KB)
Von: http://dxr.o2-downloader.org
In dem ZIP-Archiv „rechnung.zip“ befindet sich ein JavaScript mit dem gleichen Namen („rechnung.js“).
Das JavaScript sieht wie folgt aus:
und lädt von der Domain innovationnextgen.bdtous.com/wp-syst.nbv die Datei „isonkfrl.exe“. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „CryptoLocker“. Virustotal zeigt eine Erkennungsrate von 12/57.
Gleichzeitig befindet sich in einigen Verzeichnissen eine Datei (einmal als Textdatei und einmal als Internetseite), in der auf die Verschlüsselung hingewiesen wird.
wie_zum_Wiederherstellen_von_Dateien.txt
wie_zum_Wiederherstellen_von_Dateien.html
Der gleiche Inhalt öffnet sich (neben dem Texteditor und dem Webbrowser) auch nochmal als zusätzliches Fenster. Im Webbrowser sieht die Meldung wie folgt aus:
WARNUNG
Wir verschlüsseln Ihre Dateien mit Crypt0L0cker Virus
Ihre wichtigen Dateien (einschließlich der an den Netzwerk-Festplatten, USB, etc.): Fotos, Videos, Dokumente, etc. wurden mit Crypt0L0cker Virus verschlüsselt. Der einzige Weg, um Ihre Dateien wiederherzustellen, ist an uns zu zahlen. Andernfalls wird Ihre Dateien verloren gehen.Vorsicht: Entfernen von Crypt0L0cker nicht wiederherstellen Zugriff auf Ihre verschlüsselten Dateien.
Zum Wiederherstellen von Dateien müssen Sie bezahlen.
Um die Dateien zu öffnen unsere Website http://x5sbb5gesp6kzwsh.hoptrop.pl/qqfz25k6.php?user_code=xxxxxx&user_pass=xxxx und folgen Sie den Anweisungen wiederherzustellen.
Wenn die Website nicht verfügbar ist, folgen Sie bitte diesen Schritten:
1. Herunterladen und TOR-Browser von diesem Link installieren: https://www.torproject.org/download/download-easy.html.en
2. Nach der Installation der Browser ausgeführt wird und die Adresse eingeben: http://xiodc6dmizahhijj.onion/qqfz25k6.php?user_code=xxxxxx&user_pass=xxxx
3. Folgen Sie den Anweisungen auf der Website.
Wie die verlinkte Internetseite aussieht, ist in der Warnung „Ihre aktuelle Rechnung von O2 ([email protected] oder [email protected])“ zu sehen.