Emailing – CSI-955275_MB_S_8b46964d95525: Ransomware ‚Locky‘ (Verschlüsselungs- und Erpressungstrojaner)

Wie auch schon in der englischen E-Mail „PAYMENT“ vom heutigen Tage, so wurde am Mittwoch, den 16. August 2017 durch unbekannte Dritte auch die folgende betrügerische E-Mail versendet. Öffnen Sie nicht die Anlage! Das beigefügte ZIP-Archiv enthält ein JavaScript, welches die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nachlädt.

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage!

Der Betreff dieser Nachrichten enthält unterschiedliche Nummern:

  • Emailing – CSI-727386_MB_S_c4c74af2404a3
  • Emailing – CSI-230339_MB_S_1296f31e8cea6
  • Emailing – CSI-154283_MB_S_eee1920cdc7b5
  • Emailing – CSI-480507_MB_S_5876bc048faa8
  • Emailing – CSI-453070_MB_S_245bad1ede697

Die E-Mail kommt mit einem ZIP-Archiv wie z. B. „“CSI-955275_MB_S_8b46964d95525.zip als Anlage.

In der vorliegenden Version scheint den Tätern ein Fehler unterlaufen zu sein. Der Inhalt des ZIP-Archiv ist nochmal base64-codiert, d. h. eine Software würde das Archiv nicht ohne weiteres öffnen. Allerdings sollte man sich auf so etwas nicht verlassen!

Nach einem erneuten de-codieren würde sich im ZIP-Archiv ein JavaScript befinden.

Das JavaScript lädt von den Internetadressen

  • animal-naturals.net/jbYUF6D??JSXUDSHmR=JSXUDSHmR
  • autofeed.com.ar/jbYUF6D??qNUoSpXDXT=qNUoSpXDXT
  • apparelsave.com/jbYUF6D??qOdGJePzRJb=qOdGJePzRJb
  • ascensions.fr/jbYUF6D??PwJvQys=PwJvQys

eine ausführbare Datei nach:

PwJvQys2.exe

Virustotal zeigt eine Erkennungsrate von 28/63. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware). Dieser beginnt u. U. noch nicht sofort mit der Verschlüsselung der Dateien, daher fällt die Infektion u. U. erst später auf.

Die aktuelle „Locky“-Version benennt alle Dateien in *.lukitus um:

 

Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:

lukitus.bmp

lukitus.htm

Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:

=$|$=-=.

!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successsful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/*****
4. Follow the instructions on the site.

!!! Your personal identification ID: ******* !!!
#__ -*+
.–=-*-$|—_-

 

Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die lukitus.bmp – Datei aus:

 

Die verlinkte Internetseite zeigt im TOR-Browser folgende Erpressung:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.