Computer Security Varo: Vääriä Windows Update -sähköposteja asentaa Cyborg...

Varo: Vääriä Windows Update -sähköposteja asentaa Cyborg Ransomware

Windows-päivitys asentaa kiborg-lunnaohjelmat Marraskuussa 2019 käynnistettiin uusi roskapostikampanja, joka ajaa Cyborgin lunastusohjelman uhka. Väärennetty sähköposti väittää, että se on peräisin Microsoftilta, ja kehottaa uhreja asentamaan uusimman Windows-päivityksen.

Roskapostin sähköpostiviestin otsikkorivi on "Kriittinen Microsoft Windows Update!" ja tekstin teksti kuuluu seuraavasti: "Asenna Microsoftin uusin kriittinen päivitys, joka on liitetty tähän sähköpostiviestiin". Huonojen välimerkkien ja sen, että sähköpostin väitetään pitävän päivitystiedostoa liitteenä, pitäisi olla ensimmäinen punainen lippu, joka varoittaa käyttäjiä siitä, että jokin on vialla. Liite itsessään ei ole suoritettava tai .msi-asennusohjelma, kuten todellisesta korjaustiedostosta voidaan odottaa, mutta väärennetty .jpg-tiedosto.

Haitallisen .jpg-nimi on satunnaistettu jokaisessa roskapostissa, ja sen koko on yleensä 28 kt. Tiedosto ei ole kuva, mutta naamioitu .NET-suoritettava suoritettava tiedosto, joka toimittaa Cyborgin ransomware-hyötykuorman uhrin järjestelmään. Haitallisen .jpg-tiedoston avaaminen tekstieditorissa paljastaa, että siinä on osio nimeltä #Strings, joka sisältää linkin GitHub URL-osoitteeseen, joka ylläpitää tiedostoa, jonka nimi on "bitcoingenerator.exe". Tiedosto on ladattu tililtä nimeltä "misterbtc2020" - nyt vanhentunut ja poistettu, kun TrustWaven tietoturva-asiantuntijat ovat tutkineet sen. "Bitcoingenerator.exe" -sovelluksen todellinen sisältö on Kyborgin lunastusohjelman suolet.

Kun se on suoritettu, ransomware salaa uhrin tiedostot ja liittää ".777" -laajennuksen jokaisen salatun tiedoston jälkeen. Vaikuttavat tiedostotyypit sisältävät suuren määrän laajennuksia tavallisista tekstitiedostoista tietokantoihin, mediatiedostoihin, MS Office -asiakirjoihin, arkistoihin ja PDF-tiedostoihin. Lunnaislomake toimitetaan tiedostoon nimeltä "Cyborg_DECRYPT.txt" ja se sisältää seuraavan tekstin:

CYBORG RANSOMWWARE on salattu kaikki tiedostosi

Älä huoli, voit palauttaa kaikki tiedostosi!

Kaikki tiedostosi, kuten asiakirjat, valokuvat, tietokannat ja muut tärkeät, ovat salattuja

Mitä takuita annamme sinulle?

Voit lähettää yhden salatusta tiedostostasi ja me purkaa sen ilmaiseksi.

Sinun on suoritettava nämä vaiheet tiedostojen salauksen purkamiseksi:

1) Lähetä 500 dollaria bitcoinia lompakkoon [Bitcoin wallet string]

2) kirjoita sähköpostiosoitteeseemme: marceldeneud osoitteessa yandex dot com

Henkilötunnuksesi: [aakkosnumeerinen merkkijono]

Salattuaan kaikki vastaavat laajennustiedostot, ransomware pudottaa myös kopion sen suoritettavasta nimestä "bot.exe" järjestelmäaseman juurikansioon.

Turvallisuustutkijat löysivät useita Cyborgin lunastusohjelmistoinfektioita, joissa oli käytetty erilaisia laajennuksia, mikä tarkoittaa, että lunastusohjelmalle on oltava rakennustyökalu, mikä tarkoittaa, että enemmän huonoja toimijoita voisi rakentaa omat versiot ja käynnistää uusia hyökkäyskampanjoita tulevaisuudessa.

Ladataan...