Voicemail from 01581289024 3m 41s von ServVoIP (voicemailandfax@Deine Domain) bringt die Ransomware ‚GlobeImposter‘!

Am Dienstag, den 19. Dezember 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Öffnen Sie nicht das .7z-Archiv und führen Sie das darin enthaltene .vbs-Script nicht aus! Die Ransomware „GlobeImposter“ (Verschlüsselungs- und Epressungstrojaner) würde Ihren PC sonst verschlüsseln!

Betreff: Voicemail from 01660196626 <01660196626> 3m 45s
Voicemail from 01819861292 <01819861292> 2m 21s
Voicemail from 01581289024 <01581289024> 3m 41s
Absender: ServVoIP (voicemailandfax@Deine Domain)

Message From „01660196626“ 01660196626

——————————————————————————–
Created: Tue, 19 Dec 2017 19:31:24 +0200
Duration: 3m 45s
Account: (E-Mail-Adresse)

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht die Anlage! Die E-Mail kommt mit unterschiedlichen Absenderangaben!

Die E-Mail bringt ein .7z-Archiv mit, welches ein .vbs-Script enthält:

msg_19_12_01660196626-052177.7z
msg_19_12_01819861292-83415378.7z

msg_19_12_01953051551-1143014483.vbs
msg_19_12_01753740863-7959799033.vbs

Führen Sie das Script nicht aus! Von der Adresse

  • atakan.com/MjdyeUHS32?
  • intra.cfecgcaquitaine.com/MjdyeUHS32?

würde eine ausführbare Datei nachgeladen!

Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „GlobeImposter“ (Ransomware). Virustotal zeigt eine Erkennungsrate von 12/66.

Die Ransomware beginnt sofort damit, alle wichtigen Dateien in *.doc umzubenennen:

 

Daneben produziert „GlobeImposer“ eine Datei, die auf die Verschlüsselung hinweist:

Read___ME.html

 

Auf dem Desktop sind selbst die Links verschlüsselt:

 

Bei Aufruf der „Read___ME.html“ wird im Hintergrund auch folgende Adresse aufgerufen:

  • psoeiras.net/js/count.php?nu=105&fb=110

 

Die „Read___ME.html“ zeigt folgenden Inhalt:

Your files are Encrypted!

For data recovery needs decryptor.

If you want to buy a decryptor click „Buy Decryptor“

Buy Decryptor

If not working, click again.

Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.

If you can not contact, follow these two steps:
1. Install the TOP Browser from this link: torproject.org
2. Open this link in the TOP browser: http://n224ezvhg4sgyamb.onion/sup.php

 

Die Seite „Buy Decryptor“ würde folgende Erpessung zeigen:

To buy the decryptor, you must pay the cost of: 0.055 Bitcoin ($ 1000)
You have 2 days for payment
time left :

after finishing offer, decryptor cost will be 0.11 Bitcoin

You can buy bitcoin on one of these sites:
blockchain.info
localbitcoins.com
google.com

send 0.055 bicoin on the Bitcoin address: ***************

After payment enter your REAL e-mail to get the decryptor

E-MAIL

SUBMIT E-MAIL

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert