Aleta Ransomware: E-Mail ohne Betreff verschlüsselt Dateien in *.[[email protected]].aleta
Am Mittwoch, den 12. Juli 2017 wurden durch unbekannte Dritte die folgenden E-Mails versendet. Da die E-Mails ohne Betreff und nur mit einer Anlage kommen, kann die E-Mail auch als deutsche oder englische E-Mail angesehen werden.
Entpacken Sie nicht das ZIP-Archiv! Das Script würde einen Verschlüsselungs- und Erpressungstrojaner (Ransomware) nachladen, der alle Dateien in *.[[email protected]].aleta umbenennt!
Achtung: Es handelt sich um eine bösartige E-Mail! Öffnen Sie daher nicht den Dateianhang! Ähnliche E-Mails haben in der Vergangenheit bereits die Verschlüsselungs- und Erpressungstrojaner „Cerber“ (siehe z. B. Warnung vom 23.05.2017: „Cerber Ransomware: E-Mail ohne Betreff von [email protected]“) und „Locky“ (siehe z. B. Warnung vom 29.10.2016: „Locky nach wie vor mit (so gut wie) leerer E-Mail unterwegs“) mitgebracht.
Das in dieser E-Mail enthalten ZIP-Archiv trägt eine Nummer als Dateinamen (z. B. 33578865667000.zip oder 52611659167378.zip). Im ersten ZIP-Archiv ist ein zweites ZIP-Archiv enthalten, welches dann ein JavaScript enthält:
33578865667000.zip
0727008620.zip
nu70Skg.js
Das JavaScript sieht wie folgt aus:
‚O Esquadrão N.º 34 é um esquadrão de transporte VIP da Real Força Aérea Australiana (RAAF). Ope’O Esquadrão N.º 34 é um esquadrão de transporte VIP da Real Força Aérea Australiana (RAAF). Ope
‚A unidade foi re-estabelecida em Março de 1948 como esquadrão de comunicações na Base aérea de
‚Desde 2011, o esquadrão tem um efectivo de 30 pilotos e 35 tripulantes de bordo. Os pilotos do dDuoCt(null, true);} }catch (error){ return oWCIdDuoCt(null, true); }}function almzrp(){ /,e,r,r,o,r,.,p,h,p,?,f,=,1,.,d,a,t‘};var oFNzG = gZlPfSnn.hWouo.split(‚,‘);var qztqWACl = oFNzGPm.g + fYlCVDlCPm.ttt + fYlCVDlCPm.F + fYlCVDlCPm.i + fYlCVDlCPm.l + fYlCVDlCPm.e + fYlCVDlCPm.SfyWp);}function GeGtKdq(path){ function OIUXANnBW(){ var QBnaqQrvIIf = [‚return fdn‘, „1);}’A Wikipédia é um projeto de enciclopédia colaborativa, universal e multilíngue estabelecido
‚O projeto é definido pelos princípios fundadores. O conteúdo é disponibilizado sob a licença Cr
‚Todos os editores da Wikipédia são voluntários. Eles integram uma comunidade colaborativa, sem
‚Dentre as várias páginas de ajuda à disposição dos interessados em contribuir, estão as que exp
‚Todos podem publicar conteúdo on-line desde que sigam as regras básicas estabelecidas pela comu
‚Debates e comentários sobre os artigos são bem-vindos. As páginas de discussão servem para cent
Mit Textausschnitten sollen hier vermutlich Virenscanner in die Irre geleitet werden. Die Textausschnitte sind dabei aber als Kommentare enthalten, so dass der PC am Ende nur den Abschnitt in der Mitte ausführen würde. Dabei wird z. B. die Datei astromfghqmo.com/error.php?f=1.dat geladen und auf dem System z. B. als „o9ia57g0s.exe“ abgespeichert:
Virustotal zeigt für die Datei eine Erkennungsrate von 15/63.
Das Programm beginnt sofort mit der Verschlüsselung ganz vieler Dateien und benennt diese in *.[[email protected]].aleta um (selbst die Desktop.ini wird dabei z. B. in Desktop.ini.[[email protected]].aleta umbekannt):
Microsoft Access-Datenbank (neu).accdb.[[email protected]].aleta
Microsoft Excel-Arbeitsblatt (neu).xlsx.[[email protected]].aleta
Microsoft PowerPoint-Präsentation (neu).pptx.[[email protected]].aleta
Microsoft Publisher-Dokument (neu).pub.[[email protected]].aleta
Microsoft Word-Dokument (neu).docx.[[email protected]].aleta
Neue Bitmap.bmp.[[email protected]].aleta
Neue Bitmap.gif.[[email protected]].aleta
Neue Bitmap.jpg.[[email protected]].aleta
Neue Bitmap.png.[[email protected]].aleta
Neuer TAR-komprimierter Ordner.tar.[[email protected]].aleta
Außerdem wird in den Verzeichnissen eine Datei „!#_READ_ME_#!.hta“ angelegt.
Diese wird am Ende auch automatisch angezeigt:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected] in body of your message write your ID
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‚Buy bitcoins‘, and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http: //www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
– Do not rename encrypted files.
– Do not try to decrypt your data using third party software, it may cause permanent data loss.
– Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Your ID
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Das Programm scheint auch nach der Verschlüsselung noch aktiv zu sein. Auch neu angelegte Dateien werden dadurch noch verschlüsselt.