Vær forsiktig: Falske e-poster med Windows Update installerer Cyborg Ransomware
I november 2019 ble det lansert en ny e-postkampanje for spam, og presset trusselen til Cyborg ransomware . Den falske e-posten hevder å stamme fra Microsoft og oppfordrer ofrene til å installere den siste oppdateringen for Windows.
Spam-e-posten har en emnelinje "Kritisk Microsoft Windows Update!" og teksten inneholder: "Installer den siste kritiske oppdateringen fra Microsoft som er knyttet til denne e-posten." Den dårlige tegnsetting og det faktum at e-posten påstår å bære oppdateringsfilen som et vedlegg, bør være det aller første røde flagget som varsler brukere om at noe er galt. Selve vedlegget er ikke en kjørbar eller et .msi-installasjonsprogram, som det kan forventes fra en faktisk oppdateringsfil, men en falsk .jpg-fil.
Navnet på den ondsinnede .jpg er randomisert i hver spam-e-post, og størrelsen er vanligvis 28 kb. Filen er ikke et bilde, men en forkledd. NET-kjørbar som vil levere Cyborg ransomware nyttelast til offerets system. Åpning av den ondsinnede .jpg-filen i en tekstredigerer avslører at den har en seksjon som heter #Strings som inneholder en kobling til en GitHub-URL som er vert for en fil som heter "bitcoingenerator.exe." Filen lastes ned fra en konto som heter "misterbtc2020" - nå deaktivert og slettet etter at sikkerhetseksperter fra TrustWave undersøkte den. Det virkelige innholdet i "bitcoingenerator.exe" er tarmen til Cyborg-ransomware.
Når den er kjørt, krypterer ransomware sine offerets filer og legger til utvidelsen ".777" etter hver krypterte fil. Berørte filtyper inkluderer et stort antall utvidelser som spenner fra ren tekstdokumenter til databaser, mediefiler, MS Office-dokumenter, arkiver og PDF-filer. Løsningsnotatet blir levert i en fil med navnet "Cyborg_DECRYPT.txt" og inneholder følgende tekst:
ALLE DIN FILER KONTROLLERES AV CYBORG RANSOMWARE
Ikke bekymre deg, du kan returnere alle filene dine!
Alle filene dine som dokumenter, bilder, databaser og annet viktig er kryptert
Hvilke garantier gir vi deg?
Du kan sende en av den krypterte filen, og vi dekrypterer den gratis.
Du må følge disse trinnene for å dekryptere filene dine:
1) Send 500 dollar bitcoin til lommebok [Bitcoin lommebokstreng]
2) skriv på vår e-post: marceldeneud på yandex dot com
Din personlige ID: [alfanumerisk streng]
Etter å ha kryptert alle matchende utvidelsesfiler, slipper ransomware også en kopi av den kjørbare navnet "bot.exe" i rotmappen på systemstasjonen.
Sikkerhetsforskere oppdaget flere forekomster av Cyborg ransomware-infeksjoner med forskjellige utvidelser brukt, noe som betyr at et byggverktøy for ransomware må eksistere, noe som betyr at flere dårlige aktører kan bygge sine egne versjoner og lansere nye angrepskampanjer i fremtiden.