E-Mail von [email protected] mit passwortgeschützter Word-Datei als Anlage bringt die Sigma Ransomware!
Am Dienstag, den 05. Dezember 2017 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache verbreitet. Achtung: Öffnen Sie nicht das passwortgeschützte Word-Dokument! Ein Makro lädt die Sigma Ransomware, die umgehend alle Ihre Dateien verschlüsselt!
Betreff: (keiner)
Absender: [email protected]
Security password to open this invoice is 9997
045004288870900366675995009831003970360501042682318948129454015323821886471127769402662738759713000
Achtung: Es handelt sich um eine gefälschte / betrügerische E-Mail! Öffnen Sie nicht das beigefügte Word-Dokument!
Der E-Mail ist ein Word-Dokument beigefügt, welches z. B.
5490410_(Empfängername).doc lautet. Beim Öffnen würde Word nach dem Passwort fragen, welches als Text der E-Mail beigefügt ist. In früheren Versionen dieser E-Mail war das Passwort als Bild beigefügt.
Nach der Passwort-Eingabe würde das Dokument so aussehen:
Achtung: Es handelt sich um eine gefälschte Information! Führen Sie nicht das Makro aus! Von zwei TOR-Adressen würden angeblich Grafiken geladen, bei denen es sich aber um die Sigma Ransomware handelt!
- yztnv4ha5rapf6gj.onion.link / logo.jpg
- kz7jyyeiuod4ezmd.onion.link / icon.ico
Nach der Ausführung würde die Ransomware Ihre Dateien verschlüsseln. Außerdem würde auf dem Desktop eine HTML-Datei „“ angelegt. In den Unterverzeichnissen befindet sich diese Datei als Textdatei.
What has happened to my files ? Why i am seeing this ?
All of your files have been encrypted with RSA 2048 Encryption. Which means, you wont be able to open them or view them properly. It does NOT mean they are damaged.
Solution
Well its quite simple only we can decrypt your files because we hold your RSA 2048 private key. So you need to buy the special decryption software and your RSA private key from us if you ever want your files back. Once payment is made, you will be given a decrypter along with your private key , once you run that , All of your files will be unlocked and back to normal.
So there are 2 ways to do this either you wait for a miracle and get your price doubled or follow instructions below carefully and get back your all important files.
Payment procedure
First try to open decrypter page in normal browser
Click Here ==> http://yowl2ugopitfzzwb.onion.link <== Click HereClick Here ==> http://yowl2ugopitfzzwb.onion.plus <== Click Here
Click Here ==> http://yowl2ugopitfzzwb.onion.rip <== Click Here
Click Here ==> http://yowl2ugopitfzzwb.onion.casa <== Click Here
7. Wait a few seconds, and site will open then enter your GUID mentioned below and process.
********
If you failed to open links in normal browsers
Download a special browser called „TOR browser“ and then open the given below link. Steps for the same are –
1. Go to https://www.torproject.org/download/download-easy.html.en to download the „TOR Browser“.
2. Click the purple button which says „Download TOR Browser“
3. Run the downloaded file, and install it.
4. Once installation is completed, run the TOR browser by clicking the icon on Desktop.
5. Now click „Connect button“, wait a few seconds, and the TOR browser will open.
6. Copy and paste the below link in the address bar of the TOR browser.http://yowl2ugopitfzzwb.onion/
Now HIT „Enter“
7. Wait a few seconds, and site will open then enter your GUID mentioned below and process.
***********
If you have problems during installation or use of Tor Browser, please, visit Youtube and search for „Install Tor Browser Windows“ and you will find a lot of videos.
Der Desktop-Hintergrund wird ebenfalls verändert:
SIGMA RANSOMWARE
**** ATTENTIONAL ALL YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED ****
*** PLEASE READ THIS MESSAGE CAREFULLY IF YOU EVER WANT YOUR FILES BACK ****
The only way to get back your files to normal is to receive the private key and decryption program
To receive the private key and decryption program we created files with complete instrucions inside every folder of your computer as well as in your desktop named „README“ please reat it and follow
Die verlinkte Internetseite würde zunächst die Computer-ID abfragen:
Sigma Ransomware
GUID ProcessIf you not able to find your Machine GUID / Instructions notes for decryption please click LIVE CHAT below and connect with us
===> LIVE CHAT <===
We respect CIS countries, still if you have been infected, contact us via Live Chat and we will decrypt your files for free.
Danach würde die folgende Erpressung angezeigt: