Zahlungsbedingungen von Hanna Klein ([email protected])

Am Montag, den 27. März 2017 wurde durch unbekannte Dritte die folgende gefälschte E-Mail in deutscher Sprache versendet. Achtung: Die Anlage lädt vermutlich den Verschlüsselungs- und Erpressungstrojaner „CryptoLocker“ (Ransomware). Klicken Sie deswegen nicht auf die Anlage!

Betreff: Zahlungsbedingungen
Absender: Hanna Klein ([email protected])

(Nachname Vorname)

Zahlungsbedingungen: https://dl.dropboxusercontent.com/s/v69so8omg1tuspo/info_ZxvKaI.zip?dl=0

Mit freundlichen Grüßen,
Hanna Klein

Achtung: Es handelt sich um eine gefälschte E-Mail! Die Anlage würde vermutlich den Verschlüsselungs- und Erpressungstrojaner „CryptoLocker“ (Ransomware) nachladen. Klicken Sie deswegen nicht auf die Anlage!

Ein Klick auf den Link würde zunächst eine .zip-Datei herunterladen:

Öffnen von info_ZxvKaI.zip

Sie möchten folgende Datei öffnen:

info_ZxvKaI.zip

Vom Typ: Compressed (zipped) Folder (12,4 KB)

Von: https://dl.dropboxusercontent.com

Das ZIP-Archiv „info_ZxvKaI.zip“ enthält zunächst ein JavaScript mit dem Namen „info_ZxvKaI.js“:

Das JavaScript würde von der Adresse fatflat.tw/file/hit.njk eine Datei herunterladen. Diese wird zunächst z. B. als 30420.exe oder 27959.exe abgespeichert und ausgeführt. Virustotal zeigt eine Erkennungsrate von 9/60.

  • 27959.exe
  • 30420.exe
  • radioluminescence.dll
  • Takahe

Die .exe-Datei wird in das ProgramData-Verzeichnis kopiert und dort z. B. in „exoqumoq.exe“ umbenannt. In der Registry wird ein Eintrag angelegt, damit die Datei bei jedem PC-Start ausgeführt wird.

Scheinbar verschlüsselt der Trojaner den Rechner nicht immer sofort. Auch der anfängliche Download der .exe-Datei ist nur zeitverzögert erfolgt.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert