Stoppt die Vorratsdatenspeicherung! Jetzt klicken und handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken und handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:

15 Juli 2018

Unglaublich dieses faule und dumdreiste Cyberkriminellengesox ... Bitcoin sammeln via Porno Trojaner Bluff

Was der Kriminelle nicht bedacht hat ... nicht jeder Mag Pornos!

Die Header

Return-Path: <admin@hempfactories.com>
...
Received: from hempfactories.com ([185.144.29.137] helo=hempfactories.com)
by ASSP.nospam with SMTP (2.6.2); 15 Jul 2018 06:29:52 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=mail; d=hempfactories.com;
h=Message-ID:From:To:Subject:Date:MIME-Version:Content-Type; i=admin@hempfactories.com;
bh=xxKGrYjv5If6H3VRQv1GL8js1+HuMcJkZqwu/l4TK0s=;
b=OzE4ggZd5raMD5SfhND2xDncQcE2x+f5SALoX5OaIVhBY6ZZnpL9w3uLj+wfPhfJbqS2sR0Ha3ad
2XM5CAfE3trHeImWx8efwxJtU8GXVs/scNIvKpOv6rxJqg5jYvCYMTPMd366wIJC0gofb+CRv+Fc
WxF4MNZyyJOR7FzAh68=
Message-ID: <C.............@hempfactories.com>
From: "vbseytoe" <admin@hempfactories.com>
To: <.....@.....de>
Subject: =?windows-1251?B?We51J3JlIG15IHZp8XRpbQ==?=
Date: Sun, 15 Jul 2018 03:38:26 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="2776c2dbef319c197b0af7f88746"

Die Mail

Subject: Yоu're my viсtim

Hi, victim.
I write you bесausе I put a mаlwarе on thе wеb page with porn whiсh you hаvе visited.
My virus grabbеd аll your personal info аnd turned оn yоur camerа which сaptured the proсess оf your оnanism. Just after that the sоft saved yоur cоntact list.
I will dеletе the comрrоmising vidеo and infо if yоu pаy mе 250 USD in bitcоin. This is аddress fоr payment : 16QvCe5fNwK4TXXG7gaxZbtFyJ5sypaba1

I give yоu 30 hоurs аftеr yоu орen my messаge fоr mаking thе transаction.
As soоn аs you read the messаgе I'll see it right awаy.
It is nоt necеssаry tо tell mе thаt yоu hаve sent mоnеy to me. This аddrеss is сonneсted to yоu, my systеm will delеtе everything automаtiсаlly after trаnsfеr сonfirmatiоn.
If you need 48 h just reрly оn this lеttеr with +.
Yоu саn visit the роliсе stаtion but nobоdy сan helр you.
If you try tо deceive me , I'll seе it right away !
I dоnt livе in yоur country. So they саn not traсk my lосation evеn fоr 9 mоnths.
Goоdbye. Dоnt forget аbоut the shamе аnd to ignоrе, Yоur lifе can be ruined.

Eine Beschwerde habe ich an den russischen ISP der IP 185.144.29.137 geschikt

Was sagt der DNS?

dig -t any hempfactories.com

; <<>> DiG 9.11.2 <<>> -t any hempfactories.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44875
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;hempfactories.com.             IN      ANY

;; ANSWER SECTION:
hempfactories.com.      599     IN      A       185.144.29.137
hempfactories.com.      3599    IN      NS      ns35.domaincontrol.com.
hempfactories.com.      3599    IN      NS      ns36.domaincontrol.com.
hempfactories.com.      3599    IN      SOA     ns35.domaincontrol.com. dns.jomax.net. 2018062107 28800 7200 604800 600
hempfactories.com.      599     IN      MX      10 mail.hempfactories.com.
hempfactories.com.      599     IN      TXT     "v=spf1 ip4:185.144.29.137 a mx ~all"
;; Query time: 201 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sun Jul 15 12:29:36 CEST 2018
;; MSG SIZE  rcvd: 232
Da hempfactories.com. laut whois seite durch enom.com regisriert wurde - dort aber keine Abuse Adressen auffindbar waren habe ich Sicherheitshalber auch eine Beschwerde an wildwestdomains.com den Registar von domaincontrol.com. gesendet, für den Fall das auch die Domain des Nmeservers eine Fake ist und dazu gehört.

Wenn ihr auch so ne Mail bekommt, ab in die Tonne damit!

1 Kommentar:

lucycharls hat gesagt…
Dieser Kommentar wurde vom Autor entfernt.