Achtung Ransomware: E-Mail ohne Betreff mit Word-Datei als Anlage

Am Dienstag, den 29. August 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Öffnen Sie nicht die Anlage! Das Word-Dokument enthält ein Makro, welches die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nachlädt und alle Ihre Dateien in *.lukitus umbenennt / verschlüsselt! Hier zwei Beispiele:

Betreff: (leer)
Absender: [email protected]
Anlage: 241036567821370.doc

Betreff: (leer)
Absender: [email protected]
Anlage: 7461341772.doc

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage! Ähnliche E-Mails kamen bereits früher vor und haben z. B. die Cerber Ransomware (siehe z. B. die Warnung vom 23.05.2017 „Cerber Ransomware: E-Mail ohne Betreff von [email protected]), Aleta Ransomware (siehe z. B. die Warnung vom 27.07.2017 „E-Mail ohne Betreff verschlüsselt Dateien in *.[[email protected]].aleta“) oder den Verschlüsselungs- und Erpressungstrojaner Locky verteilt (siehe z. B. die Warnung vom 15.10.2016 „Locky statt Cerber Ransomware: E-Mails mit Betreff „Zahl (Benutzername)“ unterwegs…“).

Das beigefügte Word-Dokument sieht wie folgt aus und enthält ein Makro, welches die Ransomware nachlädt:

This document created in earlier version of Microsoft Office Word

To view this content, please click „Enable editing“ at the top yellow bar, and then click „Enable content“

Von der Domain honeygoodhoc.top/admin.php?f=1 wird eine Datei nachgeladen, bei der es sich um die Locky Ransomware handelt. Virustotal zeigt eine Erkennungsrate von 24/65!

Die aktuelle „Locky“-Version benennt alle Dateien in *.lukitus um:

 

Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:

lukitus.bmp

lukitus.htm

Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:

.$-=
.|=$$-$

!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:

1. Laden Sie einene Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: g46mbrrzpfszonuk.onion/*****
4. Folgend Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!

=*|$|+|-c=…_ |.-+

 

Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die lukitus.bmp – Datei aus.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.