Locky Ransomware verschlüsselt nun in *.asasin! E-Mail ohne Betreff bringt Locky Ransomware!
Am Dienstag, den 10. Oktober 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Achtung: Das .zip-Archiv enthält entweder ein weiteres zip-Archiv mit JavaScript oder ein Word-Dokument mit Makro, welches die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nachlädt! Diese benennt alle Dateien in *.asasin (zuletzt *.ykcol) um! Öffnen Sie deswegen nicht die Anlage / das .zip-Archiv!
Betreff: (keiner)
Absender: [email protected] oder [email protected]
Diese Nachricht hat eine hohe Prioritätsstufe.
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage!
Die E-Mail bringt entweder ein .zip – Archiv mit, welches ein weiteres zip-Archiv enthält. Darin befindet sich ein JavaScript:
125727924059.zip
13925.zip
13925.js
Oder im ersten .zip-Archiv ist ein Microsoft Word – Dokument enthalten:
Das Word-Dokument würde so aussehen:
This document created in earlier version of
Microsoft Office WordTo view this content, please click ‚Enable editing‘ at the top
yellow bar, and then click ‚Enable content‘
Das stimmt aber nicht! Das Word-Dokument enthält ein bösartiges Makro und die Betrüger wollen Sie nur dazu bringen, das Makro auszuführen.
Sowohl aus dem JavaScript wie auch von dem Makro wird von der Adresse
- hostyoplan.top/admin.php?a=3
eine ausführbare Datei nachladen.
3.exe
Laut Virustotal liegt die Erkennungsrate für die ausführbaren Dateien bei 14/65! Hierbei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware). Öffnen Sie daher nicht das Script!
Die neue „Locky“-Version benennt seit heute alle Dateien in *.asasin um:
Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:
asasin.bmp
asasin.htm
Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:
.$-=
.|=$$-$!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_StandardDie Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm,
welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: g46mbrrzpfszonuk.onion/*****
4. Folgen Sie den Anweisungen auf der Seite.!!! Ihre persönliche Identifizierungs-ID lautet: ***** !!!
=*|$|+|-c=…_ |.-+
Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die asasin.bmp – Datei aus:
Außerdem nimmt die neue Locky-Version wieder Kontakt zu einem Server auf. Er sendet diverse Daten an die IP-Adresse 91.203.5.181/information.asp