"Von: DHL Sendungsverfolgung [mailto:[email protected]]
Gesendet: Dienstag, 28. Juni 2016 12:47An: [email protected]Betreff: DHL-Paket-Lieferung fehlgeschlagenSehr geehrter Kunde,die Lieferung für das Paket mit der Sendungverfolgungsnummer 056392024191 ist fehlgeschlagen.Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.Mit freundlichen Grüßen,DHL EXPRESSDeutsche Post AGCharles-de-Gaulle-Straße 20PLZ/ Ort: 53113 Bonn"
Im Moment ist wieder einmal eine Welle mit Verschlüsselungstrojanern im Netz unterwegs. Aktuell handelt es sich wohl um eine modifizierte Variante von Locky, welche sich BART nennt. Nach einem Bericht von HEISE werden alle Dateien verschlüsselt und als .bart.zip Dateien gespeichert. Den Schlüssel zum Entpacken kann man dann für 300 – 1700 € bei den Erpressern kaufen.
Im Anhang der E-Mail befindet sich die Datei Sendung_056392024191.zip, welche aktuell nur von 6 der 53 Virenscannern auf Virustotal.com als Gefahr erkannt wird. In der ZIP Datei befinden sich die Dateien „Sendungsetikett_056392024191.pdf.js.js“ und „Sendungsinformationen_056392024191.pdf.js.js“.
Das sind natürlich keine Etiketten oder Informationen, sondern direkt ausführbare Java-1Scripte, welche den Trojaner downloaden und starten.
Wie immer gilt auch hier: Ignorieren und Löschen!