Computer Security Óvakodj: A hamis Windows Update e-mailekkel telepíti a...

Óvakodj: A hamis Windows Update e-mailekkel telepíti a Cyborg Ransomware szoftvert

A Windows frissítés telepítve egy kiborg ransomware szoftververt 2019 novemberében új spam e-mail kampány indult, amely a Cyborg ransomware fenyegetését váltotta ki . A hamis e-mail állítások szerint a Microsoft származik, és sürgeti az áldozatokat, hogy telepítsék a Windows legújabb frissítését.

A spam e-mail tárgya a "Kritikus Microsoft Windows Update!" és a szöveg szövege: "Kérjük, telepítse a Microsoft legfrissebb kritikus frissítését, amely ehhez az e-mailhez kapcsolódik". A rossz írásjeleknek és annak a ténynek, hogy az e-mail állítása szerint a frissítő fájlt csatolja mellékletként, a legelső piros jelzőnek kell lennie, hogy figyelmeztesse a felhasználókat, hogy valami nincs rendben. Maga a melléklet nem végrehajtható vagy .msi telepítő, amint az valódi javítófájlból elvárható, hanem egy hamis .jpg fájl.

A rosszindulatú .jpg neve véletlenszerűen van kiválasztva minden spam e-mailben, és mérete általában 28 kb. A fájl nem egy kép, hanem egy rejtett .NET futtatható fájl, amely a Cyborg ransomware hasznos terhelését továbbítja az áldozat rendszeréhez. A rosszindulatú .jpg fájl szövegszerkesztőben történő megnyitásakor kiderül, hogy van egy #Strings nevű szakasz, amely hivatkozást tartalmaz egy GitHub URL-re, amely egy "bitcoingenerator.exe" nevű fájlt tárol. A fájlt egy "misterbtc2020" nevű fiókról töltötték le - ez már nem működik és törlődik, miután a TrustWave biztonsági szakértői ezt megvizsgálták. A "bitcoingenerator.exe" valódi tartalma a Cyborg ransomware bélje.

A végrehajtás után a ransomware titkosítja az áldozat fájljait, és minden összecsapott fájl után hozzáfűzi a .777 kiterjesztést. Az érintett fájltípusok rengeteg kiterjesztést tartalmaznak, a sima szöveges dokumentumoktól az adatbázisokig, a médiafájlokig, az MS Office dokumentumokig, az archívumokig és a PDF-ekig. A váltságdíjat a "Cyborg_DECRYPT.txt" nevű fájlban kézbesítik, és a következő szöveget tartalmazzák:

Az összes fájlt a CYBORG RANSOMWARE titkosítja

Ne aggódjon, visszaadhatja az összes fájlt!

Az összes fájl, például dokumentumok, fényképek, adatbázisok és egyéb fontos adatok titkosítva vannak

Milyen garanciákat adunk Önnek?

Elküldheti egyik titkosított fájlját, és ingyenesen dekódoltuk.

A fájlok visszafejtéséhez kövesse az alábbi lépéseket:

1) Küldjön 500 dolláros bitcoint a pénztárcára [Bitcoin pénztárca karakterlánc]

2) írjon e-mailünkre: marceldeneud at yandex dot com

Személyi azonosítója: [alfanumerikus karakterlánc]

Az összes megfelelő kiterjesztésű fájl titkosítása után a ransomware a bot.exe nevű végrehajtható fájl egy példányát a rendszermeghajtó gyökérmappájába dobja.

A biztonsági kutatók többféle cyborg ransomware fertőzést fedeztek fel különféle kiterjesztésekkel, ami azt jelenti, hogy léteznie kell egy ransomware készítő eszköznek, ami azt jelenti, hogy több rossz szereplő készíthet saját verziókat és új támadási kampányokat indíthat a jövőben.

Betöltés...