Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif ([email protected]) bringt den Verschlüsselungs- und Erpressungstrojaner ‚Grandcrab‘ 5.0.4!
Am Dienstag, den 06. November 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Öffnen Sie nicht das .rar-Archiv und führen Sie die darin enthaltene Datei nicht aus! Die Ransomware „Grandcrab“ (Verschlüsselungs- und Epressungstrojaner) würde Ihren PC sonst verschlüsseln und alle Dateien in .hhhceknjyu umbenennen!
Betreff: Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit
Absender: Peter Reif ([email protected])Sehr geehrte Damen und Herren,
auf der Internetseite der Arbeitsagentur habe ich Ihre Stellenanzeige gefunden.
Durch meine mehrjährige Berufserfahrung und die kontinuierliche, selbständige Weiterbildung bin ich davon überzeugt, die mit der herausfordernden Stelle verbundenen Anforderungen zu Ihrer Zufriedenheit erfüllen zu können. Daher bewerbe ich mich hiermit gerne bei Ihrem renommierten Unternehmen.Meine Bewerbungsunterlagen finden Sie im Anhang dieser E-Mail.
Da ich großen Wert auf Privatsphäre lege, habe ich die Bewerbungsunterlagen Datei mit einem Kennwort versehen.Das Kennwort für die Unterlagen lautet: 0611
Mein Ziel ist es, die angeeigneten Fähigkeiten gewinnbringend in Ihrem Unternehmen einzusetzen und mich dabei selbst kontinuierlich weiterzuentwickeln, um stets ein leistungsfähiger Mitarbeiter in Ihrem Unternehmen zu sein.
Für weitere Fragen stehe ich gerne zur Verfügung. Auf eine persönliche Vorstellung, in der ich Sie von meinen fachlichen Kenntnissen und Motivation überzeugen kann, freue ich mich.
Mit freundlichen Grüßen,
Peter Reif
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie daher nicht die Anlage! Der darin genannte Absender hat mit der E-Mail nichts zu tun!
Die E-Mail bringt neben einem Bild, welches aus einer Internetseite kopiert wurde, ein passwortgeschütztes .rar-Archiv mit. Das Passwort zum Öffnen der Datei ist in der E-Mail genannt. Öffnen Sie die Datei aber nicht, da es sich um eine bösartige Software handelt!
Peter Reif.jpg
Peter Reif – CV – Bewerbung.rar
Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe
Es handelt sich um den Verschlüsselungs- und Erpressungstrojaner „Grandcrab“ (Ransomware).
Die Ransomware beginnt sofort damit, alle wichtigen Dateien in *.hhhceknjyu umzubenennen:
Microsoft Access Datenbank (neu).accdb.hhhceknjyu
Microsoft Excel-Arbeitsblatt (neu).xlsx.hhhceknjyu
Microsoft PowerPoint-Präsentation (neu).pptx.hhhceknjyu
Microsoft Publisher-Dokument (neu).pub.hhhceknjyu
Neuer ZIP-komprimierter Ordner.zip.hhhceknjyu
Neues Journal-Dokument.jnt.hhhceknjyu
Daneben produziert „Grandcrab“ eine Datei, die auf die Verschlüsselung hinweist:
HHHCEKNJYU-DECRYPT.txt
—= GANDCRAB V5.0.4 =—
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE WILL BE DECRYPTION ERRORS*****
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .HHHCEKNJYU
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
—————————————————————————————-
| 0. Download Tor browser – https://www.torproject.org/
| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/ad9e459d94574690
| 4. Follow the instructions on this page—————————————————————————————-
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW—BEGIN GANDCRAB KEY—
—END GANDCRAB KEY—
—BEGIN PC DATA—
—END PC DATA—
Auch das Hintergrundbild auf dem Desktop verweist auf die Verschlüsselung:
ENCRYPTED BY GRANDCRAB 5.0.4
DEAR user,
YOUR FILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOU MUST BUY DECRYPTORFor further steps read HHHCEKNJYU-DECRYPT.txt that is located in every encrypted folder
Die verlinkte TOR-Seite sieht so aus (falls eine gewisse Anzahl von Tagen verstrichen ist):
