Voice Message Attached from 01423092834 – name unavailable von vm@eigene Domain bringt ‚Locky‘ Ransomware (Verschlüsselungs- und Erpressungstrojaner)

Wie am Vortag auch schon in der englischen E-Mail „PAYMENT“ oder der E-Mail „Emailing – CSI-955275_MB_S_8b46964d95525“, so wurde am Donnerstag, den 17. August 2017 durch unbekannte Dritte auch die folgende betrügerische E-Mail versendet. Öffnen Sie nicht die Anlage! Das beigefügte RAR-Archiv enthält ein VBS-Script, welches die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nachlädt.

Betreff: Voice Message Attached from 01423092834 – name unavailable oder Voice Message Attached from 01046120769 – name unavailable oder Voice Message Attached from 01507510197 – name unavailable

Absender: vm@eigene Domain

Time: Wed, 16 Aug 2017 21:36:12 -0600
Click attachment to listen to Voice Message

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage!

Die E-Mail bringt ein RAR-Archiv mit, welches eine .vbs-Datei enthält.

013599022497816_4029876_923193.rar
013599046120769_4125666_922605.rar
013599046120769_4125666_922605.rar
013599507510197_8514887_002090.rar
013599245143374_4430037_297060.vbs
013599312457175_4138970_137871.vbs
013599730060286_6777541_606191.vbs
013599873614719_4300085_922301.vbs

 

Das Script lädt von den Internetadressen

  • zilipendwaradio.com/yb8w7fg?
  • augsburger-maerchentheater.de/yb8w7fg?
  • croumbria.org/yb8w7fg?
  • opvoedcoach.nl/yb8w7fg?

eine ausführbare Datei nach:

EcMFhHDDWa.exe
jiGftEQ.exe
JKMXIhTwoKI.exe
jwvJafgfYxx.exe

 

Virustotal zeigt eine Erkennungsrate von 48/63. Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware). Dieser beginnt u. U. noch nicht sofort mit der Verschlüsselung der Dateien, daher fällt die Infektion u. U. erst später auf.

Die aktuelle „Locky“-Version benennt alle Dateien in *.lukitus um:

 

Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:

lukitus.bmp

lukitus.htm

Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:

=$|$=-=.

!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successsful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/*****
4. Follow the instructions on the site.

!!! Your personal identification ID: ******* !!!
#__ -*+
.–=-*-$|—_-

 

Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die lukitus.bmp – Datei aus:

 

Die verlinkte Internetseite zeigt im TOR-Browser folgende Erpressung:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert