Auf frischer Tat erwischt (TeslaCrypt / Krypto-Trojaner)

Die einschlägige IT-Onlineberichterstattung ist aktuell voll mit Meldungen über Krypto-Trojaner (Locky, TeslaCrypt usw.). Aus der Quarantäne eines Servers konnte ich eine "TeslaCrypt"-Mail extrahieren. Diese scheinbar harmlose Mail (ohne HTML-Ansicht):

Date: Wed, 24 Feb 2016 09:45:34 -0430
From: Julia Rehfeldt 
To: michael.schillinger@xyz.de
Subject: Rechnung


Mit freundlichen Grüßen
Julia Rehfeldt
__________________________________________
xxx yyy GmbH

enthält den Anhang WIN_004_12_TISIBA_Module_JKM235polyx4.zip in welchem sich eine Javascript-Datei enthielt, die den eigentlichen Krypto-Trojaner nachlädt:

Die Javascript-Datei ist unicode kodiert. Eine Decodierung zeigt dann den Inhalt lesbar an:

Letztendlich wird am Schluß von einem Server in der Türkei der eigentliche Schadcode nachgeladen, der dann für das Verschlüsseln der eigenen Dateien verantwortlich ist. Der Benutzer muss aktiv den Anhang anklicken, dass dieser auch ausgeführt wird.

Entweder hat die Firewall des Serverbetreibers in der Türkei  nun aktualisierte Virenmuster oder es wurde hier manuell eingegriffen, zumindest lässt sich momentan der Schadcode nicht mehr herunterladen, man bekommt nur eine Warnseite (Fortinet):