CCE28122017_009687 bringt die Ransomware ‚GlobeImposter‘!

Am Donnerstag, den 28. Dezember 2017 wurden durch unbekannte Dritte die folgenden betrügerischen E-Mails versendet. Öffnen Sie nicht das .7z-Archiv und führen Sie das darin enthaltene Script (*.vbs) nicht aus! Die Ransomware „GlobeImposter“ (Verschlüsselungs- und Epressungstrojaner) würde Ihren PC sonst verschlüsseln!

Betreff: CCE28122017_009687
Absender: diverse Vornamen wie

Arlen, Claudia, Odessa, Deanna, April, Julius, Estela, Nannie, Debbie


Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht die Anlage! Die E-Mail kommt von unterschiedlichen Adressen. Die angeblichen Absender haben mit der E-Mail nichts zu tun!

Die E-Mail bringt ein .7z-Archiv mit (die Zahl im Dateinamen ist jeweils unterschiedlich, wie die folgenden Beispiele zeigen):

Darin enthalten ist ein .vbs-Script (wie schon beim Dateinamen der .7z-Datei ist auch hier die Zahl im Dateinamen unterschiedlich):

 

Das Script fängt so an:

 

Führen Sie das Script nicht aus! Von den Adressen

  • smartnewjerseyhomebuyers.com/06YefeR?
  • weserve.world/06YefeR?
  • slimthrive.net/06YefeR?
  • yourappyourway.com/06YefeR?
  • swarm-solutions.com/06YefeR?

würde eine ausführbare Datei nachgeladen, die ebenfalls unterschiedliche Dateinamen bekommt (hier einige Beispiele):

Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „GlobeImposter“ (Ransomware). Virustotal zeigt eine Erkennungsrate von 23/67.

Die Ransomware beginnt sofort damit, alle wichtigen Dateien in *.doc umzubenennen (wie man hier sieht, zählen dazu auch die Anlagen der E-Mail):

 

Daneben produziert „GlobeImposer“ eine Datei, die auf die Verschlüsselung hinweist:

Read___ME.html

 

Die „Read___ME.html“ zeigt folgenden Inhalt:

Your files are Encrypted!

For data recovery needs decryptor.

If you want to buy a decryptor click „Buy Decryptor“

Buy Decryptor

If not working, click again.

Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.

If you can not contact, follow these two steps:
1. Install the TOP Browser from this link: torproject.org
2. Open this link in the TOP browser: http://n224ezvhg4sgyamb.onion/sup.php

 

Die verlinkte TOR-Seite sieht so aus:

To buy the decryptor, you must pay the cost of: 0.072 Bitcoin ($ 1000)
You have 2 days for payment
time left :

after finishing offer, decryptor cost will be 0.144 Bitcoin

You can buy bitcoin on one of these sites:
blockchain.info
localbitcoins.com
google.com

send 0.072 bicoin on the Bitcoin address: **********

After payment enter your REAL e-mail to get the decryptor

Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.

1. Download „Tor Browser“ from https://www.torproject.org/ and install it.
2. In the „Tor Browser“ open page here:

http://n224ezvhg4sgyamb.onion/open.php

Note! This page is available via „Tor Browser“ only.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.