Computer Security Attenzione: messaggi di posta elettronica Windows Update...

Attenzione: messaggi di posta elettronica Windows Update falsi installa Cyborg Ransomware

Windows Update installa cyborg ransomware A novembre 2019, è stata lanciata una nuova campagna di posta elettronica spam, spingendo la minaccia di ransomware Cyborg . L'email falsa afferma di provenire da Microsoft e sollecita le vittime a installare l'ultimo aggiornamento per Windows.

L'email di spam ha una riga dell'oggetto "Critico Microsoft Windows Update!" e il corpo del testo dice "Installa l'ultimo aggiornamento critico di Microsoft allegato a questa email". La punteggiatura errata e il fatto che l'e-mail afferma di portare il file di aggiornamento come allegato dovrebbe essere il primo indicatore rosso ad avvisare gli utenti che qualcosa non va. L'allegato stesso non è un file eseguibile o un programma di installazione .msi, come ci si potrebbe aspettare da un file patch effettivo, ma da un file .jpg falso.

Il nome del file .jpg dannoso viene randomizzato in ogni e-mail di spam e la dimensione è generalmente di 28 kb. Il file non è un'immagine, ma un eseguibile .NET mascherato che consegnerà il payload del ransomware Cyborg al sistema della vittima. L'apertura del file .jpg dannoso in un editor di testo rivela che ha una sezione denominata #Strings che contiene un collegamento a un URL GitHub che ospita un file denominato "bitcoingenerator.exe". Il file viene scaricato da un account chiamato "misterbtc2020", ora dismesso ed eliminato dopo che gli esperti di sicurezza di TrustWave lo hanno esaminato. Il vero contenuto del "bitcoingenerator.exe" è il coraggio del ransomware Cyborg.

Una volta eseguito, il ransomware crittografa i file della vittima e aggiunge l'estensione ".777" dopo ogni file codificato. I tipi di file interessati includono un numero enorme di estensioni che vanno da documenti di testo semplice a database, file multimediali, documenti MS Office, archivi e PDF. La nota di riscatto viene consegnata in un file denominato "Cyborg_DECRYPT.txt" e contiene il seguente testo:

TUTTI I TUOI FILE SONO CRIPTATI DA CYBORG RANSOMWARE

Non preoccuparti, puoi restituire tutti i tuoi file!

Tutti i tuoi file come documenti, foto, database e altri importanti sono crittografati

Quali garanzie ti offriamo?

Puoi inviare uno dei tuoi file crittografati e noi lo decifriamo gratuitamente.

È necessario seguire questi passaggi Per decrittografare i file:

1) Invia $ 500 bitcoin al portafoglio [Bitcoin wallet string]

2) scrivi sulla nostra e-mail: marceldeneud presso yandex dot com

Il tuo ID personale: [stringa alfanumerica]

Dopo aver crittografato tutti i file di estensione corrispondenti, il ransomware rilascia anche una copia del suo eseguibile denominato "bot.exe" nella cartella principale dell'unità di sistema.

I ricercatori della sicurezza hanno scoperto più casi di infezioni da cyborg ransomware con diverse estensioni utilizzate, il che significa che deve esistere uno strumento di creazione per il ransomware, il che significa che più cattivi attori potrebbero costruire le proprie versioni e lanciare nuove campagne di attacco in futuro.

Caricamento in corso...