trojaner mediamarkt1

Ransomware CERBER über E-Mail „Mediamarkt“: Dein Buchung wird ausgeliefert 019568

trojaner mediamarkt1"Von: Frank Wick [mailto:[email protected]

Gesendet: Freitag, 24. Juni 2016 05:45
An: [email protected]
Betreff: Dein Buchung wird ausgeliefert 019568
Sehr verehrter Client,
Vielen Dank für die Bestellung von "alfi 3522.000.150 isolierkanne."
Geschätztes Ankunftsdatum ist morgen,
berechnet auf Basis der eingetragenen
Lieferadresse im mediamarkt.de Online Store.
Um Ihren Kaufpurchasing zu bestätigen (oder abzubrechen), bitte benutzen
Sie Ihren einzigartigen Client Identifikations Schlüssel,
indem Sie den unten genannten
Klicken Sie hier.
Wir möchten uns herzlich bei Ihnen dafür bedanken, dass Sie unseren Handel
für Ihren Kauf ausgesucht haben.
Im Falle von Problemen, zögern Sie nicht, uns anzurufen.
Hochachtungsvoll,
Frank Wick"
Hier eine fingierte E-Mail vom „Mediamarkt“, welche einen Geschäftsabschluss vortäuscht. Der Link führt zu h**p://www.jobisez.com/redirect.aspx?URL=http://tvr489eo8z.vseandroidhost.ru/jy8lfawz9b . Dort holt man sich dann über die heruntergeladene ZIP-Datei einen Trojaner ab, welcher den PC verschlüsselt. Der Krypto-Trojaner CERBER ist Ransomware, welche für das entsprechende Entschlüsselungsprogramm ca. 500€ in Bitcoins verlangt. Die Erpresser erklären ausserdem, das wenn man nicht innerhalb von 5 Tagen zahlt, sich die Summe verdoppelt.
Wie immer gilt auch hier: Ignorieren und Löschen!

Trojaner per Makrovirus: Bestellung Fa. BERGES Antriebstechnik

"Von: Krell, Jürgen [mailto:[email protected]]
Gesendet: Freitag, 18. Dezember 2015 09:45
An: '[email protected]';
Betreff: Bestellung

Mit freundlichen Grüßen
BERGES Antriebstechnik/Einkauf
i.A. Jürgen Krell
Leiter Einkauf

Tel: +49 2264 17-145
Fax: +49 2264 17-144
E-Mail:[email protected]
--------------------------------------------
BERGES Antriebstechnik GmbH & Co. KG
Industriestr. 13, 51709 Marienheide
Tel.: +49 2264 17 0, Fax: +49 2264 17 125
E-Mail: [email protected]
Internet: http://www.berges.de
------------------------------------------------------------------------------------------------------
USt ID-Nr.: DE122 546 223
Handelsregister: Registergericht Köln HRA 16990
Komplementär: BERGES Antriebstechnik GmbH
Handelsregister: Registergericht Köln HRB 38484
Geschäftsführer: Dipl.-Kfm. Dietmar Sarstedt, Karl-Heinz Georg
-----------------------------------------------------------------------------------------------------"

Und der nächste Makrovirus mit Trojaner: 13042092.doc vom gefälschten Absender Berges Antriebstechnik.
Auch hier gilt: ungesehen löschen!
AVware LooksLike.Macro.Malware.gen!d3 (v)
Arcabit HEUR.VBA.Trojan
F-Secure Trojan:W97M/MaliciousMacro.GEN
GData Macro.Trojan-Downloader.Agent.KF
VIPRE LooksLike.Macro.Malware.gen!d3 (v)

Wieder Trojaner per Makrovirus: Rechnung 31074445 – Auftrag: 530655 – Ihre Bestellung: telef. Fa. Heitmann Metallhandel

"Von: [email protected] [mailto:[email protected]]
Gesendet: Donnerstag, 17. Dezember 2015 13:22
An: [email protected]
Betreff: Rechnung 31074445 - Auftrag: 530655 - Ihre Bestellung: telef.
gesendet von
Celine Kollmorgen
Tel: 0221/7772-274 - Fax: 0221/7772-255
--
Heitmann Metallhandel GmbH
Hansekai 3
50735 Köln
Telefon: +49 (0)221 - 77 72 - 1
Telefax: +49 (0)221 - 77 72 - 234
Registergericht: Köln
Registernummer: HRB 24078
Geschäftsführer: Werner Heitmann"

Im Anhang wieder eine Doc-Datei mit Trojaner: 31074445.DOC. Angeblich eine Rechnung der Firma Heitmann Metallhandel GmBH aus Köln. Auch das ist wieder ein Makrovirus, der einen Trojaner nachlädt.
Mail Löschen Anhang keinesfalls öffnen. Nur 6 von 53 Scannern erkennen den aktuell:
AVware LooksLike.Macro.Malware.gen!d3 (v)
Arcabit HEUR.VBA.Trojan
ESET-NOD32 VBA/TrojanDownloader.Agent.AMS
F-Secure Trojan:W97M/MaliciousMacro.GEN
GData Macro.Trojan-Downloader.Agent.FV
VIPRE LooksLike.Macro.Malware.gen!d3 (v)

bornebusch2

Trojaner im Anhang: Bestellung 96149 von Fa. Bornebusch

bornebusch2"Von: Tobias Baum - Bornebusch [mailto:[email protected]]
Gesendet: Mittwoch, 16. Dezember 2015 08:42
An: [email protected]
Betreff: Bestellung 96149
Mit freundlichen Grüßen
Tobias Baum Chacon
Bornebusch GmbH & Co. KG
Welterstr. 44
57072 Siegen
[email protected]
www.bornebusch.de
tel.: +49 (271) 77 25 9-0
fax: +49 (271) 4 45 08
Unsere allgemeinen Geschäftsbedingungen können Sie unter http://www.bornebusch.de/agb/ einsehen.

Geschäftsführer: Heinrich Bornebusch Amtsgericht Siegen HRB 7971
USt.-Id.-Nr.: DE 814585776
Steuer-Nr.: 342/5803/1390
HINWEIS: Diese Nachricht ist vertraulich und nur für den Adressaten bestimmt.
Sollten Sie irrtümlich diese Nachricht erhalten haben, bitte ich um Ihre Mitteilung per E-Mail oder unter der oben angegebenen Telefonnummer."

 

ACHTUNG! auch das ist keine echte Bestellung! Die angehängte Datei 20151216084136.doc einhält einen Makro-Virus, welcher den Krypto-/ Erpressungstrojaner nachlädt und installiert.

Mail einfach löschen! Anhang nicht öffnen!

Die Fa. Bornebusch weiß wahrscheinlich gar nicht das in Ihrem Namen solche Mails versendet werden. Telefonisch ist auch leider keiner zu erreichen dort.

Nur 4 von 52 Virenscannern erkennen diese Gefahr laut virustotal.com:

Arcabit: HEUR.VBA.Trojan
F-Secure: Trojan:W97M/MaliciousMacro.GEN
Fortinet: WM/Agent!tr
Qihoo-360: heur.macro.download.cc

Trojaner im Anhang: Paket angekommen.

„Von: DHL Paket [mailto:[email protected]]
Gesendet: Mittwoch, 16. Dezember 2015 09:47
An: [email protected]
Betreff: Paket angekommen.
Guten Tag [email protected]
Ihr Paket id_61657147 ist empfangsbereit.
Diese e-mail ist eine Mitteilung für die Ankunft.
Lieferung durch den Absender gezahlt.
Die Hohe der Versicherungspaket € 1.670.
Um das Sendung zu bekommen , bitte drucken Sie das angehangte Dokument und prasentieren sie in einem Lagerhaus.
===
Herzliche Grüße
Ihr DHL Team
________________________________________
DHL Paket GmbH
Sträßchensweg 10
53113 Bonn

Registergericht Bonn
HRB 19565
USt-IdNr.: DE 813312787
Geschäftsführung:
Dr. Andrej Busch
Katja Herbst
Norman Chmiel
Heinrich Eilers
Dr. Thomas Ogilvie
Vorsitzender des Aufsichtsrates: Uwe Brinks © 2015 DHL“

In der angehängte ZIP-Datei befindet sich ein Javascript: DHL_ID_paket.js, welches vermutlich einen Trojaner, wo möglich sogar einen Kryto-Trojaner oder Erpressungs-Trojaner.
Grundsätzlich schickt DHL zwar Benachrichtigungen per E-Mail, aber immer ohne Anhang.
E-Mail also löschen und keinesfalls öffnen. Nicht alle Virenscanner erkennen Ransomware in Javascripten.

Verschiedene Scanner erkennen verschiedene Schädlinge:
ClamAV: Suspect.Bredozip-zippwd-2
Cyren: JS/Downldr.DB
ESET-NOD32: JS/TrojanDownloader.Agent.OEC
F-Prot: JS/Downldr.DB
TrendMicro: Possible_SCRDL
TrendMicro-HouseCall: Possible_SCRDL