Your Invoice # 45539 von Anna ([email protected])

Am Dienstag, den 16. Mai 2017 wurde durch unbekannte Dritte die folgende E-Mail versendet. Achtung: Die E-Mail lädt vermutlich den Verschlüsselungs- und Erpressungstrojaner „Jaff“ (Ransomware) nach. Öffnen Sie daher nicht die Anlage!

Betreff: Your Invoice # 45539
Absender: Anna ([email protected])

Your Invoice is attached.

If you feel you have received this email in error, please reply to this email to inform us of any necessary corrections.

Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie daher nicht auf die Anlage und öffnen Sie diese nicht!

Die E-Mail bringt eine Datei „Invoice.pdf“ mit. Dabei handelt es sich aber nicht um eine echte PDF-Datei. Beim Öffnen der Datei würde der Acrobat Reader eine Sicherheitsabfrage stellen:

Please open attached LFA2KCHZQ.docm file

Datei öffnen
Die Datei „LFA2KCHZQ.docm“ enthält eventuell Programme, Makros oder Viren, die Ihren Computer beschädigen können. Öffnen Sie die Datei nur, wenn Sie davon ausgehen können, dass sie in Ordnung ist. Wie möchten Sie vorgehen?
[x] Diese Datei öffnen
[ ] Öffnen von Dateien dieses Typs immer zulassen
[ ] Öffnen von Dateien dieses Typs niemals zulassen

Der Dateiname der Microsoft Word – Datei ist unterschiedlich. Würden Sie die Frage bestätigen, dann öffnet sich folgende Darstellung in Microsoft Word:

Geschützte Ansicht
Diese Datei stammt von einem Internetspeicherort und kann ein Risiko darstellen. Klicken Sie hier, um weitere Details anzuzeigen.
Bearbeitung aktivieren

Klicken Sie nicht auf „Bearbeitung aktivieren“! Danach würde folgende Sicherheitsabfrage erscheinen:

Sicherheitswarnung
Makros wurden deaktiviert
Inhalt aktivieren

This Document is protected!

1 Open the document in Microsoft Office. Previewing offline is not available for protected documents.
2 If this document was downloaded from your email, please click „Enable editing“ from the yellow bar above.
3 One you have enabled editing, please click „Enable content“ on the yellow bar above.

Nach dem Ausführen des Makros würde von biarritzru.com/Nbiyure3 eine Datei nachgeladen. Es handelt sich dabei um eine bösartige Software. Laut den Kommentaren bei Virustotal handelt es sich dabei um die Jaff Ransomware (Verschlüsselungs- und Erpressungstrojaner)..

Derzeit ist zumindest die o. g. Datei nicht mehr verfügbar (Error 403 – Forbidden). Klicken Sie dennoch nicht auf den Link!

Kommentar(e)