leere E-Mail mit Betreff Copy_0712000 oder File_0712000 und Anlage ’nm.pdf‘
Am Donnerstag, den 11. Mai 2017 wurde durch unbekannte Dritte die folgende E-Mail versendet. Achtung: Die E-Mail lädt vermutlich den Verschlüsselungs- und Erpressungstrojaner „Jaff“ (Ransomware) nach. Öffnen Sie daher nicht die Anlage!
Betreff: Copy_0712000 oder File_0712000 (oder andere Nummern)
Absender: Tricia ([email protected])
Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie daher nicht auf die Anlage und öffnen Sie diese nicht!
Die E-Mail bringt eine Datei „nm.pdf“ mit. Dabei handelt es sich aber nicht um eine echte PDF-Datei, wie man hier sehen kann:
Beim Öffnen der Datei würde der Acrobat Reader eine Sicherheitsabfrage stellen:
Datei öffnen
Die Datei „UNMQE.docm“ enthält eventuell Programme, Makros oder Viren, die Ihren Computer beschädigen können. Öffnen Sie die Datei nur, wenn Sie davon ausgehen können, dass sie in Ordnung ist. Wie möchten Sie vorgehen?
[x] Diese Datei öffnen
[ ] Öffnen von Dateien dieses Typs immer zulassen
[ ] Öffnen von Dateien dieses Typs niemals zulassen
Die PDF-Seite zeigt auch die Aufforderung zum Öffnen der Word-Datei an:
Please open attached UNMQE.docm file
Der Dateiname der Microsoft Word – Datei ist unterschiedlich. Würden Sie die Frage bestätigen, dann öffnet sich folgende Darstellung in Microsoft Word:
Geschützte Ansicht
Diese Datei stammt von einem Internetspeicherort und kann ein Risiko darstellen. Klicken Sie hier, um weitere Details anzuzeigen.
Bearbeitung aktivieren
Klicken Sie nicht auf „Bearbeitung aktivieren“! Danach würde folgende Sicherheitsabfrage erscheinen:
Sicherheitswarnung
Makros wurden deaktiviert
Inhalt aktivierenThis Document is protected!
1 Open the document in Microsoft Office. Previewing offline is not available for protected documents.
2 If this document was downloaded from your email, please click „Enable editing“ from the yellow bar above.
3 One you have enabled editing, please click „Enable content“ on the yellow bar above.
Nach dem Ausführen des Makros würde von babil117.com/f87346b eine Datei nachgeladen. Es handelt sich dabei um eine bösartige Software. Laut Virustotal wird die Datei auch von anderen Adressen geladen (siehe Kommentar im Link).
Derzeit ist zumindest die o. g. Datei nicht mehr verfügbar. Laut dem Bericht „‚Jaff‘ Enters the Ransomware Scene, Locky-Style“ wurde hier die „Jaff Ransomware“ nachgeladen.