Dejte si pozor: Falešné e-maily s Windows Update instaluje software Cyborg Ransomware

V listopadu 2019 byla zahájena nová e-mailová kampaň proti spamu, která tlačila na hrozbu cyborg ransomware . Falešný e-mail tvrdí, že pochází od společnosti Microsoft, a vyzývá oběti, aby nainstalovaly nejnovější aktualizaci pro Windows.

E-mail se spamem obsahuje předmět „Critical Microsoft Windows Update!" a text textu zní: „Nainstalujte prosím nejnovější kritickou aktualizaci od společnosti Microsoft připojenou k tomuto e-mailu". Špatná interpunkce a skutečnost, že e-mail tvrdí, že obsahuje aktualizační soubor jako přílohu, by měl být prvním červeným příznakem upozorňujícím uživatele, že něco není v pořádku. Samotná příloha není spustitelným souborem ani instalačním programem MSI, jak by se dalo očekávat od skutečného souboru záplaty, ale falešného souboru JPG.

Název škodlivého souboru .jpg je v každém spamovém e-mailu náhodný a jeho velikost je obvykle 28 kB. Soubor není obrazem, ale skrytým spustitelným .NET spustitelným souborem, který přinese užitečnou zátěž Cyborg ransomware do systému oběti. Otevření škodlivého souboru JPG v textovém editoru ukazuje, že obsahuje sekci #Strings, která obsahuje odkaz na adresu GitHub hostující soubor s názvem "bitcoingenerator.exe". Soubor je stažen z účtu s názvem „misterbtc2020" - nyní je zaniklý a odstraněn poté, co jej odborníci na bezpečnost z TrustWave prošetřili. Skutečný obsah "bitcoingenerator.exe" jsou vnitřnosti Cyborg ransomware.

Jakmile se spustí, ransomware zašifruje soubory své oběti a připojí příponu „.777" za každý kódovaný soubor. Postižené typy souborů zahrnují velké množství rozšíření od běžných textových dokumentů po databáze, mediální soubory, dokumenty MS Office, archivy a PDF. Výkupné se doručuje do souboru s názvem „Cyborg_DECRYPT.txt" a obsahuje následující text:

VŠECHNY VAŠE SOUBORY JSOU UVEDENY CYBORG RANSOMWARE

Nebojte se, můžete vrátit všechny soubory!

Všechny vaše soubory, jako jsou dokumenty, fotografie, databáze a další důležité, jsou šifrovány

Jaké záruky vám dáváme?

Můžete odeslat jeden z vašich šifrovaných souborů a my jej dešifrujeme zdarma.

Chcete-li dešifrovat své soubory, postupujte takto:

1) Odeslat 500 bitcoinů do peněženky [řetězec bitcoinových peněženek]

2) napište na náš e-mail: marceldeneud na yandex dot com

Vaše osobní ID: [alfanumerický řetězec]

Po šifrování všech odpovídajících příponových souborů také ransomware zahodí kopii spustitelného souboru s názvem „bot.exe" do kořenové složky systémové jednotky.

Výzkumníci v oblasti bezpečnosti objevili několik případů infekcí ransomwaru Cyborg s různými použitými rozšířeními, což znamená, že musí existovat nástroj pro tvorbu ransomwaru, což znamená, že více špatných herců by si mohlo vytvořit vlastní verze a zahájit nové útokové kampaně v budoucnosti.