Pas på: Falske Windows Update-e-mails installerer Cyborg Ransomware

I november 2019 blev en ny e-mail-kampagne lanceret, der skubber Cyborg ransomware- trussel. Den falske e-mail hævder at stamme fra Microsoft og opfordrer ofrene til at installere den seneste opdatering til Windows.

Spam-e-mailen har en emnelinje "Kritisk Microsoft Windows Update!" og teksten indeholder: "Installer venligst den seneste kritiske opdatering fra Microsoft knyttet til denne e-mail". Den dårlige tegnsætning og det faktum, at e-mailen hævder at have opdateringsfilen som en vedhæftet fil, skal være det allerførste røde flag, der advarer brugerne om, at noget er galt. Selve vedhæftningen er ikke en eksekverbar eller et .msi-installationsprogram, som man kunne forvente af en faktisk patch-fil, men en falsk .jpg-fil.

Navnet på det ondsindede .jpg er tilfældigt i enhver spam-e-mail, og størrelsen er normalt 28kb. Filen er ikke et billede, men en skjult. NET-eksekverbar, der vil levere Cyborg ransomware-nyttelasten til offerets system. Åbning af den ondsindede .jpg-fil i en teksteditor afslører, at den har et afsnit med navnet #Strings, der indeholder et link til en GitHub-URL, der er vært for en fil med navnet "bitcoingenerator.exe." Filen er hentet fra en konto med navnet "misterbtc2020" - nu deaktiveret og slettet, efter at sikkerhedseksperter fra TrustWave undersøgte den. Det rigtige indhold af "bitcoingenerator.exe" er tarmene fra Cyborg-ransomware.

Når den er kørt, krypterer ransomware dets offerets filer og tilføjer ".777" -udvidelsen efter hver kodede fil. Berørte filtyper inkluderer et stort antal udvidelser, der spænder fra almindelige tekstdokumenter til databaser, mediefiler, MS Office-dokumenter, arkiver og PDF-filer. Løsningsnotaen leveres i en fil med navnet "Cyborg_DECRYPT.txt" og indeholder følgende tekst:

ALLE DIN FILER ER KRYPTERET AF CYBORG RANSOMWARE

Bare rolig, du kan returnere alle dine filer!

Alle dine filer som dokumenter, fotos, databaser og andet vigtigt er krypteret

Hvilke garantier giver vi dig?

Du kan sende en af dine krypterede filer, og vi dekrypterer den gratis.

Du skal følge disse trin for at dekryptere dine filer:

1) Send 500 $ bitcoin til tegnebog [Bitcoin tegnebogstreng]

2) skriv på vores e-mail: marceldeneud på yandex dot com

Din personlige ID: [alfanumerisk streng]

Efter kryptering af alle matchende udvidelsesfiler, dropper ransomware også en kopi af dets eksekverbare navngivet "bot.exe" i rodmappen på systemdrevet.

Sikkerhedsforskere opdagede flere forekomster af Cyborg-ransomware-infektioner med forskellige anvendte udvidelser, hvilket betyder, at et builder-værktøj til ransomware skal eksistere, hvilket betyder, at flere dårlige aktører kunne bygge deres egne versioner og lancere nye angrebskampagner i fremtiden.