Rechnung von Mia Klein ([email protected]) oder Rechnung zu zahlen von Maximilian Schulz ([email protected])
Am Freitag, den 10. März 2017 wurde durch unbekannte Dritte die folgende gefälschte E-Mail in deutscher Sprache versendet. Achtung: Die Anlage lädt den Verschlüsselungs- und Erpressungstrojaner „CryptoLocker“ (Ransomware). Klicken Sie deswegen nicht auf die Anlage!
Betreff: Rechnung
Absender: Mia Klein ([email protected])Hallo
Rechnung.
Mit freundlichem Gruss,
Mia Klein
Ein weiteres Beispiel:
Betreff: Rechnung zu zahlen
Absender: Maximilian Schulz ([email protected])Guten Tag (Vorname Nachname)
Ihre Rechnung.
Mit vorzüglicher Hochachtung,
Maximilian Schulz
Achtung: Es handelt sich um eine gefälschte E-Mail! Die Anlage würde den Verschlüsselungs- und Erpressungstrojaner „CryptoLocker“ (Ransomware) nachladen. Klicken Sie deswegen nicht auf die Anlage!
Als Anlage ist ein Word-Dokument beigefügt wie z. B.
- 958420.zip
- 834440.zip
Die ZIP-Archive enthalten ein Word-Dokument, welches z. B. folgende Namen hat:
- 638239.doc
- 769942.doc
Das Word-Dokument sieht wie folgt aus:
Sicherheitswarnung
Makros wurden deaktiviert.
Inhalt aktivierenSecure Documents
Loading content…
Note: If you have problems viewing/loading document content please select „Enable Editing“ and then „Enable Content“ button.
Das enthaltene Makro würde die Datei ltmp.topiford.pl/file/hen.bhj nachladen. Virustotal zeigt für die Datei eine Erkennungsrate von 26/59. Es handelt sich dabei um die Cryptolocker Ransomware!
Nach der Verschlüsselung sehen Sie eine Erpressungsmeldung als Internetseite (wie_zum_Wiederherstellen_von_Dateien.html) sowie als Text-Dokument (wie_zum_Wiederherstellen_von_Dateien.txt):
WARNUNG
Wir verschlüsseln Ihre Dateien mit Crypt0L0cker Virus
Ihre wichtigen Dateien (einschließlich der an den Netzwerk-Festplatten, USB, etc.): Fotos, Videos, Dokumente, etc. wurden mit Crypt0L0cker Virus verschlüsselt. Der einzige Weg, um Ihre Dateien wiederherzustellen, ist an uns zu zahlen. Andernfalls wird Ihre Dateien verloren gehen.Vorsicht: Entfernen von Crypt0L0cker nicht wiederherstellen Zugriff auf Ihre verschlüsselten Dateien.
Zum Wiederherstellen von Dateien müssen Sie bezahlen.
Um die Dateien zu öffnen unsere Website http://x5sbb5gesp6kzwsh.frontymen.pl/wscdy7j.php?user_code=xxxxxx&user_pass=xxxx und folgen Sie den Anweisungen wiederherzustellen.
Wenn die Website nicht verfügbar ist, folgen Sie bitte diesen Schritten:
1. Herunterladen und TOR-Browser von diesem Link installieren: https://www.torproject.org/download/download-easy.html.en
2. Nach der Installation der Browser ausgeführt wird und die Adresse eingeben: http://xiodc6dmizahhijj.onion/wscdy7j.php?user_code=xxxxxx&user_pass=xxxxx
3. Folgen Sie den Anweisungen auf der Website.
Die verlinkte Internetseite sieht wie folgt aus:
