Pazite: lažni e-mail za ažuriranje sustava Windows Instalira Cyborg Ransomware
U studenom 2019. pokrenuta je nova kampanja za neželjenu poštu koja je gurnula prijetnju Cyborg ransomwarea . Lažni zahtjevi za e-poštu potječu od Microsofta i potiču žrtve da instaliraju najnovije ažuriranje za Windows.
Neželjena pošta sadrži naslov retka "Kritično ažuriranje za Microsoft Windows!" a tekst teksta glasi: "Instalirajte najnovije kritičko ažuriranje Microsofta u prilogu ove e-pošte". Loša interpunkcija i činjenica da e-pošta tvrdi da sadrži datoteku za ažuriranje kao privitak trebala bi biti prva crvena zastava koja upozorava korisnike da nešto nije u redu. Sam privitak nije izvršni ili .msi instalacijski program, kao što se može očekivati od stvarne datoteke zakrpa, već lažna .jpg datoteka.
Naziv zlonamjernog .jpg nasumično se odabire u svakoj neželjenoj pošti, a veličina je obično 28 kb. Datoteka nije slika, već prikrivena .NET izvršna datoteka koja će donijeti Cyborg ransomware korisni teret na žrtvin sustav. Otvaranje zlonamerne .jpg datoteke u uređivaču teksta otkriva da ima odjeljak pod nazivom #Strings koji sadrži poveznicu na GitHub URL s datotekom pod nazivom "bitcoingenerator.exe." Datoteka je preuzeta s računa nazvanog "misterbtc2020" - sada je isključen i izbrisan nakon što su ga sigurnosni stručnjaci iz TrustWave-a istražili. Pravi sadržaj "bitcoingenerator.exe" su crijevi Cyborg ransomwarea.
Nakon što se izvrši, ransomware šifrira datoteke svoje žrtve i dodaje dodatak ".777" nakon svake skenirane datoteke. Pogođene vrste datoteka uključuju ogroman broj proširenja u rasponu od običnog tekstualnog dokumenta do baze podataka, medijskih datoteka, MS Office dokumenata, arhiva i PDF-ova. Bilješka o otkupnini isporučuje se u datoteci pod nazivom "Cyborg_DECRYPT.txt" i sadrži sljedeći tekst:
SVE VAŠE FILME OSOBLJAJU CYBORG RANSOMWARE
Ne brinite, možete vratiti sve svoje datoteke!
Sve vaše datoteke kao što su dokumenti, fotografije, baze podataka i ostalo važno su šifrirane
Koja jamstva vam dajemo?
Možete poslati jednu od vaših šifriranih datoteka, a mi je besplatno dešifriramo.
Morate slijediti ove korake za dešifriranje datoteka:
1) Pošaljite 500 $ bitcoin u novčanik [niz Bitcoin novčanika]
2) pišite na naš e-mail: marceldeneud at yandex dot com
Vaša osobna iskaznica: [alfanumerički niz]
Nakon šifriranja svih odgovarajućih datoteka proširenja, ransomware takođe ostavlja kopiju izvršnog datoteke pod nazivom "bot.exe" u korijensku mapu sistemskog pogona.
Sigurnosni istraživači otkrili su više primjera Cyborg ransomwarea s različitim ekstenzijama, što znači da alat za izradu ransomwarea mora postojati, što znači da bi više loših aktera moglo izgraditi vlastite verzije i pokrenuti nove napadačke kampanje u budućnosti.