CCE26122017_002566, CCE26122017_005129 oder CCE26122017_003370 von von Seymour ([email protected]) oder anderen Adressen bringt die Ransomware ‚GlobeImposter‘!

Am 2. Weihnachtstag (Dienstag), den 26. Dezember 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Öffnen Sie nicht das .7z-Archiv und führen Sie das darin enthaltene JavaScript (.js) nicht aus! Die Ransomware „GlobeImposter“ (Verschlüsselungs- und Epressungstrojaner) würde Ihren PC sonst verschlüsseln!

Betreff: CCE26122017_002566, CCE26122017_005129 oder CCE26122017_003370
Absender: Seymour ([email protected])

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht die Anlage! Die E-Mail kommt von unterschiedlichen Adressen. Die angeblichen Absender haben mit der E-Mail nichts zu tun!

Die E-Mail bringt ein .7z-Archiv mit, welches ein .js-Script enthält:

CCE26122017_002566.7z
CCE26122017_003370.7z
CCE26122017_37245.js
CCE26122017_37835.js

Das Script fängt so an:

Führen Sie das Script nicht aus! Von der Adresse

  • www.ta-pu.ir/mnbTREkfDS??MTQDhMsytxd=MTQDhMsytxd
  • www.caynannews.com/mnbTREkfDS??YYonVUzK=YYonVUzK
  • www.software24x7.us/mnbTREkfDS??YYonVUzK=YYonVUzK

würde eine ausführbare Datei nachgeladen!

Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „GlobeImposter“ (Ransomware). Virustotal zeigt eine Erkennungsrate von 13/67.

Die Ransomware beginnt sofort damit, alle wichtigen Dateien in *.doc umzubenennen:

 

Daneben produziert „GlobeImposer“ eine Datei, die auf die Verschlüsselung hinweist:

Read___ME.html

 

Auf dem Desktop sind selbst die Links verschlüsselt:

 

Die „Read___ME.html“ zeigt folgenden Inhalt:

Your files are Encrypted!

For data recovery needs decryptor.

If you want to buy a decryptor click „Buy Decryptor“

Buy Decryptor

If not working, click again.

Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.

If you can not contact, follow these two steps:
1. Install the TOP Browser from this link: torproject.org
2. Open this link in the TOP browser: http://n224ezvhg4sgyamb.onion/sup.php

 

Die verlinkte TOR-Seite ist zeitweise nicht erreichbar. Daher kommt im Browser eine Fehlermeldung.

 

Wie die Erpressung aussieht, sehen Sie über die alten Warnungen:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert