Locky Ransomware: Email Invoice Requested von Lois Curhbertson ([email protected])
Am Montag, den 11. September 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Öffnen Sie weder das beigefügte HTML-Dokument, noch den Link! Es wird ein JavaScript geladen, welches die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nachlädt und alle Ihre Dateien in *.lukitus umbenennt / verschlüsselt!
Betreff: Email Invoice Requested
Absender: Lois Curhbertson ([email protected])Dear customer,
Please view details of a requested invoice below and a PDF file attached:
Invoice no: 41772
Date: 11/09/2017
Amount: $22.00Please find a PDF copy attached as ‚invoice-41772.2017-09-11_11.37.16.pdf‘ for your records
Lois Curhbertson
Can’t open the attachment? Download Adobe Acrobat Reader from http://get.adobe.com/reader/
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht das HTML-Dokument und klicken Sie nicht auf den Link!
Das beigefügte HTML-Dokument lautet z. B. „invoice-41772.2017-09-11_11.37.16.html“.
Im oben gezeigten Beispiel ist es leer, also zunächst nicht schädlich. Es muss aber davon ausgegangen werden, dass auch HTML-Dokumente mit Inhalt unterwegs sind. Klicken Sie daher lieber nicht auf die .html-Datei!
Der Link in der E-Mail verweist nicht auf ein Adobe Acrobat Reader – Dokument, sondern auf die Adresse molapple.ru/w/m937.php. Diese würde sofort auf die Adresse wittinhohemmo.net/load.php verweisen und von dort ein JavaScript laden:
Das JavaScript „Invoice_I_09-11-2017-15908.js“ würde so beginnen:
Hier soll etwas verborgen werden! Das Script würde von der Adresse alu-bel.com/qxkugly.exe eine Datei nachladen. Hierbei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“. Öffnen Sie daher nicht das JavaScript!
Virustotal zeigt für eine Erkennungsrate von 27/64! „Locky“ beginnt u. U. noch nicht sofort mit der Verschlüsselung der Dateien, daher fällt die Infektion u. U. erst später auf.
Der Trojaner sendet u. a. die IP-Adresse 185.67.2.156/imageload.cgi Daten. Aber auch an die Domain dintsparrednotsit.info/eroorrrs werden z. B. verschiedene Systemergebnisse, u. a. auch eine Liste aller unter Windows laufenden Prozesse gesendet.
Die aktuelle „Locky“-Version benennt alle Dateien in *.lukitus um:
Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:
lukitus.bmp
lukitus.htm
Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:
.$-=
.|=$$-$!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: g46mbrrzpfszonuk.onion/*****
4. Folgen Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!
=*|$|+|-c=…_ |.-+
Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die lukitus.bmp – Datei aus:
Die verlinkte Internetseite zeigt im TOR-Browser folgende Erpressung: