PDF-N1638, Copy-N33729 oder Document-N64304: Ransomware ‚Locky‘ verschlüsselt in .loptr

Kommentar hinterlassen

Neben der E-Mail „Copy of Invoice 11956864 von EDMUND BEATON ([email protected])“ wurden am Mittwoch, den 21. Juni 2017 durch unbekannte Dritte die folgenden betrügerischen E-Mails versendet. Da die E-Mail ohne weiteren Inhalt (nur mit einer Anlage) kommt und der Dateiname „PDF-N1638“ auch in Deutschland verstanden wird, könnte es auch hier zu Infektionen kommen. Öffnen Sie nicht die Anlage! In dem beigefügten ZIP-Archiv ist die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) enthalten. Zumindest unter Windows XP wird das Computersystem verschlüsselt und die Dateien dabei in .loptr umbenannt.

Betreff: PDF-N1638, Copy-N33729 oder Document-N64304

Absender: Ilene ([email protected]), Gregory ([email protected]) oder Gay ([email protected])

Anlagen: PDF-N1638.zip, Copy-N33729.zip oder Document-N64304.zip

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage! Im beigefügten ZIP-Archiv ist nochmals ein ZIP-Archiv enthalten, welches eine ausführbare Datei enthält. Dabei handelt es sich um die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner). Zumindest unter Windows XP wird das Computersystem verschlüsselt und die Dateien dabei in .loptr umbenannt.

Inzwischen (23.06.) beträgt die Erkennungsrate für die ausführbare Datei laut Virustotal 45/61. Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware).

Nach der Ausführung verschlüsselt er zumindest Windows XP – Rechner und benennt die Dateien dabei in .loptr um:

A470D19E–8507–561B–F62A5F9F–E0F2AF64A313.loptr
A470D19E–8507–561B–995116EA–F2A488A882C0.loptr
A470D19E–8507–561B–8F2ACC7D–63116A9FA392.loptr
A470D19E–8507–561B–5FBC2A85–69713C193AAB.loptr
A470D19E–8507–561B–3CAF3EB1–741B52FAFF24.loptr
loptr-cfd4.htm

Außerdem sendet Locky regelmäßig Daten an die Adresse 185.115.140.170/checkupdate

Im Verzeichnis wird ebenfalls eine .htm-Datei abgelegt. Diese wird nicht automatisch geöffnet, enthält aber einen Hinweis auf die Verschlüsselung:

_-.-_=.*$|.= -+

!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wurden mit RSA-2048

und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm, welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: g46mbrrzpfszonuk.onion/xxxxx
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: xxxxx !!!
*$ =.
_-$ |_=|*_-_

Im TOR-Browser würde die Erpressung wie folgt aussehen:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert