Scan von Bonita ([email protected])

Neben der betrügerischen E-Mail-Welle „Copy_9413, Document_30859, PDF_340585, File_9782281, Scan_5924 bringen die Ransomware ‚GlobeImposter‘!“ wurden am Freitag, den 29. Dezember 2017 auch folgende betrügerische E-Mails verbreitet:

Betreff: Scan
Absender: Bonita ([email protected])


Thanks & Regards
Bonita Bostin (F&A)

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht die Anlage! Die E-Mail kommt von unterschiedlichen Adressen. Die angeblichen Absender haben mit der E-Mail nichts zu tun!

Die E-Mail bringt ein .7z-Archiv mit, welches teilweise ein .js-Script und teilweise ein .vbs-Script enthält:

Scan_00436.7z
Scan_006982.7z
Scan_007566.js
Scan_001230.vbs

Das JavaScript beginnt so:

Und das .vbs-Script beginnt so:

Beide Scripte laden unterschiedliche Dateien nach. Während eines der beiden Scripte von der Domain highlandfamily.org/JKHhgdf72? und grindelwald.ferienimboden.com/JKHhgdf72? eine Datei nachladen soll, würde das andere Script von der Domain damynghedunglinh.com/YoepHGds??nsKERIt=nsKERIt eine Datei nachladen.

Es ist zu vermuten, dass beide E-Mails die Ransomware „GlobeImposter“ verbreiten sollten (siehe dazu auch „Copy_9413, Document_30859, PDF_340585, File_9782281, Scan_5924 bringen die Ransomware ‚GlobeImposter‘!“)

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.