Invoice(75-3852) von DEMARCUS REDHEAD ([email protected])

Am Dienstag, den 23. Mai 2017 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet. Achtung: Die E-Mail lädt vermutlich den Verschlüsselungs- und Erpressungstrojaner „Jaff“ (Ransomware) nach. Öffnen Sie daher nicht die Anlage!

Betreff: Invoice(75-3852)
Absender: DEMARCUS REDHEAD ([email protected])

Thank you for your order. Your Invoice – 75-3852 is attached.

Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie daher nicht auf die Anlage und öffnen Sie diese nicht!

 

Die E-Mail bringt eine Datei „(2stellige Zahl)-(4stellige Zahl).pdf“ mit. Beim Öffnen der Datei würde der Acrobat Reader eine Sicherheitsabfrage stellen:

Please open attached JMRRBEYNF.docm file

Datei öffnen
Die Datei „JMRRBEYNF.docm“ enthält eventuell Programme, Makros oder Viren, die Ihren Computer beschädigen können. Öffnen Sie die Datei nur, wenn Sie davon ausgehen können, dass sie in Ordnung ist. Wie möchten Sie vorgehen?
[x] Diese Datei öffnen
[ ] Öffnen von Dateien dieses Typs immer zulassen
[ ] Öffnen von Dateien dieses Typs niemals zulassen

 

Der Dateiname der Microsoft Word – Datei ist unterschiedlich. Würden Sie die Frage bestätigen, dann öffnet sich folgende Darstellung in Microsoft Word:

Geschützte Ansicht
Diese Datei stammt von einem Internetspeicherort und kann ein Risiko darstellen. Klicken Sie hier, um weitere Details anzuzeigen.
Bearbeitung aktivieren

Klicken Sie nicht auf „Bearbeitung aktivieren“! Danach würde folgende Sicherheitsabfrage erscheinen:

Sicherheitswarnung
Makros wurden deaktiviert
Inhalt aktivieren

This Document is protected!

1 Open the document in Microsoft Office. Previewing offline is not available for protected documents.
2 If this document was downloaded from your email, please click „Enable editing“ from the yellow bar above.
3 One you have enabled editing, please click „Enable content“ on the yellow bar above.

 

Nach dem Ausführen des Makros würde eine Datei nachgeladen (levinsky8.exe).

Es handelt sich dabei um eine bösartige Software (Jaff Ransomware). Laut Virustotal beträgt die Erkennungsrate 10/60.

Die bösartige Software fängt sofort damit an und verschlüsselt ganz viele Dateien. Dabei wird dem alten Dateinamen die Endung „.wlu“ hinzugefügt. Die Jaff Ransomware macht dabei auch vor Temp- oder Programmverzeichnissen nicht halt. In jedes Verzeichnis, in dem Dateien verschlüsselt worden sind, werden drei Dateien ergänzt:

README_TO_DECRYPT.html

README_TO_DECRYPT.bmp

README_TO_DECRYPT.txt

 

Hier zunächst der Inhalt der Text-Datei (README_TO_DECRYPT.TXT):


/////////////////////////////////////////////////////////////////////////////////
Files are encrypted!
To decrypt flies you need to obtain the private
key.

The only copy of the private key, which will allow you to decrypt your
files, is located on a secret server
in the Internet.

1.
You must install Tor Browser:
https://www.torproject.org/download/download-easy.html.en

2.
After instalation, run the Tor Browser and enter address:
http://rktazuzi7hbln7sy.onion/

Follow the instruction on the website.

Your decrypt ID: xxxxxxxxxx

//////////////////////////////////////////////////////////////////////////////

 

Hier der Inhalt der Bild-Datei (README_TO_DECRYPT.BMP):

 

Die HTML-Datei (README_TO_DECRYPT.HTML) sieht gleich aus:

 

Außerdem wird der Desktop-Hintergrund vom Trojaner durch das Bild ausgetauscht:

 

Die genannte Internetseite im TOR-Netzwerk würde zunächst die ID abfragen:

 

Nach Eingabe der ID würde folgende Erpressung angezeigt:

Die Darstellung der Seite hat eine sehr große Ähnlichkeit zu den Seiten, die bisher vom Verschlüsselungs- und Epressungstrojaner „Locky“ angezeigt worden sind (siehe am Ende der Warnung).

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.