Computer Security Προσοχή: Τα ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου...

Προσοχή: Τα ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου του Windows Update εγκαθιστούν το Cyborg Ransomware

εγκατάσταση ενημερώσεων των Windows εγκαταστήστε cyborg ransomware Τον Νοέμβριο του 2019, ξεκίνησε μια νέα καμπάνια ηλεκτρονικού ταχυδρομείου με ανεπιθύμητα μηνύματα, προωθώντας την απειλή του Cyborg ransomware . Το ψεύτικο μήνυμα ηλεκτρονικού ταχυδρομείου ισχυρίζεται ότι προέρχεται από τη Microsoft και παροτρύνει τα θύματα να εγκαταστήσουν την πιο πρόσφατη ενημερωμένη έκδοση για τα Windows.

Το μήνυμα ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας έχει θέμα θέμα "Κρίσιμο Microsoft Windows Update!" και το σώμα του κειμένου διαβάζει, "Εγκαταστήστε την πιο πρόσφατη κρίσιμη ενημερωμένη έκδοση από τη Microsoft που επισυνάπτεται σε αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου". Η κακή στίξη και το γεγονός ότι το μήνυμα ηλεκτρονικού ταχυδρομείου ισχυρίζεται ότι φέρει το αρχείο ενημέρωσης ως συνημμένο θα πρέπει να είναι η πρώτη κόκκινη σημαία που θα ειδοποιεί τους χρήστες ότι κάτι είναι λάθος. Το ίδιο το συνημμένο δεν είναι ένα εκτελέσιμο αρχείο ή ένα πρόγραμμα εγκατάστασης .msi, όπως μπορεί να αναμένεται από ένα πραγματικό αρχείο patch, αλλά ένα ψεύτικο αρχείο .jpg.

Το όνομα του κακόβουλου .jpg γίνεται τυχαία σε κάθε spam email και το μέγεθος είναι συνήθως 28kb. Το αρχείο δεν είναι μια εικόνα, αλλά ένα μεταμφιεσμένο εκτελέσιμο .NET που θα παραδώσει το ωφέλιμο φορτίο ransomware του Cyborg στο σύστημα του θύματος. Το άνοιγμα του κακόβουλου αρχείου .jpg σε έναν επεξεργαστή κειμένου αποκαλύπτει ότι έχει μια ενότητα με το όνομα #Strings που περιέχει έναν σύνδεσμο σε μια διεύθυνση URL GitHub που φιλοξενεί ένα αρχείο με όνομα "bitcoingenerator.exe". Το αρχείο κατεβάζεται από ένα λογαριασμό που ονομάζεται "misterbtc2020" - τώρα αδρανοποιημένος και διαγραμμένος μετά την διερεύνησή του από ειδικούς ασφαλείας από την TrustWave. Τα πραγματικά περιεχόμενα του "bitcoingenerator.exe" είναι τα κόπρανα του ραντεβού Cyborg.

Μόλις εκτελεστεί, το ransomware κρυπτογραφεί τα αρχεία του θύματος του και προσθέτει την επέκταση ".777" μετά από κάθε κωδικοποιημένο αρχείο. Οι εμπλεκόμενοι τύποι αρχείων περιλαμβάνουν έναν τεράστιο αριθμό επεκτάσεων που κυμαίνονται από έγγραφα απλού κειμένου σε βάσεις δεδομένων, αρχεία πολυμέσων, έγγραφα του MS Office, αρχεία και αρχεία PDF. Η νότα λύτρα παραδίδεται σε ένα αρχείο με το όνομα "Cyborg_DECRYPT.txt" και περιέχει το ακόλουθο κείμενο:

ΟΛΑ ΤΑ ΑΡΧΕΙΑ ΣΑΣ ΠΕΡΙΛΑΜΒΑΝΟΝΤΑΙ ΑΠΟ ΤΗΝ CYBORG RANSOMWARE

Μην ανησυχείτε, μπορείτε να επιστρέψετε όλα τα αρχεία σας!

Όλα τα αρχεία σας, όπως έγγραφα, φωτογραφίες, βάσεις δεδομένων και άλλα σημαντικά, είναι κρυπτογραφημένα

Τι εγγυήσεις σας δίνουμε;

Μπορείτε να στείλετε ένα από τα κρυπτογραφημένα αρχεία σας και να τα αποκρυπτογραφήσουμε δωρεάν.

Πρέπει να ακολουθήσετε αυτά τα βήματα Για να αποκρυπτογραφήσετε τα αρχεία σας:

1) Στείλτε $ 500 bitcoin στο πορτοφόλι [Bitcoin string wallet]

2) γράψτε στο e-mail μας: marceldeneud στο yandex dot com

Το προσωπικό σας αναγνωριστικό: [αλφαριθμητική συμβολοσειρά]

Μετά την κρυπτογράφηση όλων των αρχείων επέκτασης που αντιστοιχούν, το ransomware αφαιρεί επίσης ένα αντίγραφο του εκτελέσιμου του, που ονομάζεται "bot.exe", στον ριζικό φάκελο της μονάδας συστήματος.

Οι ερευνητές της ασφάλειας ανακάλυψαν πολλαπλές περιπτώσεις λοιμώξεων από το Cyborg ransomware με διαφορετικές επεκτάσεις που χρησιμοποιούνται, πράγμα που σημαίνει ότι πρέπει να υπάρχει ένα εργαλείο οικοδόμων για το ransomware, πράγμα που σημαίνει ότι περισσότεροι κακοί ηθοποιοί θα μπορούσαν να δημιουργήσουν τις δικές τους εκδόσεις και να ξεκινήσουν νέες εκστρατείες επίθεσης στο μέλλον.

Φόρτωση...