Saugokitės: padirbtuose „Windows“ naujinimo el. Laiškuose įdiegiama „Cyborg Ransomware“

2019 m. Lapkričio mėn. Buvo pradėta nauja šlamšto el. Pašto kampanija, pastūmėjusi „ Cyborg" išpirkos programų grėsmę. Netikrą el. Laišką tvirtina turinti „Microsoft" ir ragina aukas įdiegti naujausią „Windows" naujinį.

Šlamšto el. Laiško temos eilutė yra „Kritinis„ Microsoft Windows Update "!" o tekstas pateikiamas taip: „Įdiekite naujausią„ Microsoft "atnaujinimą, pridėtą prie šio el. laiško". Blogos skyrybos ir tai, kad el. Laiškas tvirtina, kad atnaujinimo failą turi kaip priedą, turėtų būti pati pirmoji raudona vėliava, įspėjanti vartotojus, kad kažkas ne taip. Pats priedas nėra vykdomasis arba .msi diegėjas, kaip galima tikėtis iš tikrojo pataisymo failo, bet suklastotas .jpg failas.

Kenkėjiško .jpg vardas yra atsitiktinai parinktas kiekviename šlamšto el. Laiške. Paprastai jo dydis yra 28 kb. Failas nėra vaizdas, o paslėptas .NET vykdomasis failas, kuris pateiks „Cyborg" išpirkos programos naudingą apkrovą aukos sistemai. Atidarius kenksmingą .jpg failą teksto rengyklėje paaiškėja, kad jame yra skyrius pavadinimu #Strings, kuriame yra nuoroda į „GitHub" URL, kuriame yra failas, pavadintas „bitcoingenerator.exe". Failas atsisiųstas iš paskyros, pavadintos „misterbtc2020" - dabar jos nebereikalingos ir ištrintos po to, kai ją ištyrė „TrustWave" saugumo ekspertai. Tikrasis „bitcoingenerator.exe" turinys yra „Cyborg" išpirkos programos žarnos.

Vykdydamas išpirkos programinė įranga užšifruoja savo aukos failus ir prideda „.777" plėtinį po kiekvienu užkoduotu failu. Paveiktų failų tipai apima daugybę plėtinių, pradedant nuo paprasto teksto dokumentų iki duomenų bazių, daugialypės terpės failų, „MS Office" dokumentų, archyvų ir PDF rinkmenų. Išpirkos raštas pristatomas į failą pavadinimu „Cyborg_DECRYPT.txt" ir jame yra šis tekstas:

VISOS JŪSŲ Failai yra užšifruoti CYBORG RANSOMWARE

Nesijaudinkite, galite grąžinti visus failus!

Visi jūsų failai, tokie kaip dokumentai, nuotraukos, duomenų bazės ir kiti svarbūs, yra užšifruoti

Kokias garantijas mes jums suteikiame?

Galite atsiųsti vieną iš užšifruotų failų ir mes iššifruosime juos nemokamai.

Norėdami iššifruoti failus, turite atlikti šiuos veiksmus:

1) Siųsti 500 USD bitcoin į piniginę [Bitcoin wallet string]

2) rašykite el. Paštu: marceldeneud, yandex dot com

Jūsų asmens kodas: [raidinė ir skaitmeninė eilutė]

Užšifravęs visus suderinamus plėtinių failus, „ransomware" taip pat numeta savo vykdomojo failo, pavadinto „bot.exe", kopiją sistemos disko šakniniame aplanke.

Saugumo tyrinėtojai atrado kelis Cyborg išpirkos programų užkrėtimo atvejus, naudodami skirtingus plėtinius, o tai reiškia, kad turi būti išpirkos programos kūrimo įrankis, o tai reiškia, kad daugiau blogų veikėjų galėtų kurti savo versijas ir ateityje pradėti naujas išpuolių kampanijas.