Invoice INV0000176 bringt Locky Ransomware und verschlüsselt nach *.asasin!

Am Mittwoch, den 11. Oktober 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Achtung: Das .7z-Archiv enthält ein .vbs-Script, welches die Ransomware „Locky“ (Verschlüsselungs- und Epressungstrojaner) nachlädt! Diese benennt alle Dateien in *.asasin um! Öffnen Sie deswegen nicht die Anlage / das .7z-Archiv!

Betreff: Invoice INV0000176
Absender: Richie Proud ([email protected])

Sent from my iPhone

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage!

Die E-Mail bringt ein .7z – Archiv mit, welches ein .vbs-Script enthält.

Invoice INV0000176.7z
Invoice INV0000874.vbs

Das Script beginnt so:

Die .vbs-Datei würde von der Adresse

  • qxr33qxr.com/nui76tg7?
  • nsaflow.info/p66/nui76tg7
  • yamanashi-jyujin.jp/nui76tg7?
  • atlantarecyclingcenters.com/09yhb7r5e?
  • centurythis.com/09yhb7r5e?

eine ausführbare Datei nachladen.

YwGnWjqF.exe

Laut Virustotal liegt die Erkennungsrate für die ausführbaren Dateien bei 14/64! Hierbei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware). Öffnen Sie daher nicht das Script!

Die neue „Locky“-Version benennt seit heute alle Dateien in *.asasin um:

 

Daneben produziert „Locky“ zwei Dateien, die auf die Verschlüsselung hinweisen:

asasin.bmp
asasin.htm

 

Nach Ende der Verschlüsselung werden beide Dateien automatisch geöffnet:

=$|$=-=.

!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successsful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/*****
4. Follow the instructions on the site.

!!! Your personal identification ID: ******* !!!
#__ -*+
.–=-*-$|—_-

 

Außerdem tauscht „Locky“ den Bildschirmhintergrund gegen die asasin.bmp – Datei aus:

 

Außerdem nimmt die neue Locky-Version wieder Kontakt zu einem Server auf. Er sendet diverse Daten an die Adresse rateventrithathen.info/tr554.php.

 

Die Erpressung im TOR-Browser sieht übrigens so aus:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.