Computer Security Pas op: Fake Windows Update Emails installeert Cyborg...

Pas op: Fake Windows Update Emails installeert Cyborg Ransomware

Windows update installeren cyborg ransomware In november 2019 werd een nieuwe spam-e-mailcampagne gelanceerd die de dreiging van Cyborg-ransomware duwde. De valse e-mail beweert afkomstig te zijn van Microsoft en spoort slachtoffers aan om de nieuwste update voor Windows te installeren.

De spam-e-mail heeft een onderwerpregel van "Kritieke Microsoft Windows Update!" en de hoofdtekst luidt: "Installeer de nieuwste essentiële update van Microsoft die aan deze e-mail is toegevoegd". De slechte interpunctie en het feit dat de e-mail beweert het updatebestand als bijlage te hebben, zou de allereerste rode vlag moeten zijn om gebruikers te waarschuwen dat er iets mis is. De bijlage zelf is geen uitvoerbaar bestand of een MSI-installatieprogramma, zoals kan worden verwacht van een echt patchbestand, maar een nep JPG-bestand.

De naam van de kwaadaardige .jpg wordt willekeurig verdeeld in elke spam-e-mail en de grootte is meestal 28 kb. Het bestand is geen afbeelding, maar een vermomd .NET-uitvoerbaar bestand dat de Cyborg-ransomware-payload naar het systeem van het slachtoffer levert. Het openen van het kwaadaardige .jpg-bestand in een teksteditor onthult dat het een sectie met de naam #Strings bevat die een link bevat naar een GitHub-URL die een bestand met de naam "bitcoingenerator.exe" host. Het bestand wordt gedownload van een account met de naam "misterbtc2020" - nu opgeheven en verwijderd nadat beveiligingsexperts van TrustWave het hebben onderzocht. De echte inhoud van de "bitcoingenerator.exe" is het lef van de Cyborg ransomware.

Zodra het wordt uitgevoerd, codeert de ransomware de bestanden van het slachtoffer en voegt de extensie ".777" toe na elk gecodeerd bestand. Betrokken bestandstypes omvatten een groot aantal extensies, variërend van platte tekstdocumenten tot databases, mediabestanden, MS Office-documenten, archieven en PDF's. Het losgeldbriefje wordt afgeleverd in een bestand met de naam "Cyborg_DECRYPT.txt" en bevat de volgende tekst:

AL UW BESTANDEN WORDEN VERSLEUTELD DOOR CYBORG RANSOMWARE

Maak je geen zorgen, je kunt al je bestanden retourneren!

Al uw bestanden zoals documenten, foto's, databases en andere belangrijke zijn gecodeerd

Welke garanties geven wij u?

U kunt een van uw gecodeerde bestanden verzenden en wij decoderen het gratis.

U moet deze stappen volgen om uw bestanden te decoderen:

1) Stuur $ 500 bitcoin naar portemonnee [Bitcoin wallet string]

2) schrijf op onze e-mail: marceldeneud op yandex dot com

Uw persoonlijke ID: [alfanumerieke string]

Na het coderen van alle overeenkomende extensiebestanden, zet de ransomware ook een kopie van het uitvoerbare bestand "bot.exe" in de hoofdmap van het systeemstation.

Beveiligingsonderzoekers ontdekten meerdere instanties van Cyborg-ransomware-infecties met verschillende gebruikte extensies, wat betekent dat er een builder-tool voor de ransomware moet bestaan, wat betekent dat meer slechte acteurs hun eigen versies konden bouwen en in de toekomst nieuwe aanvalscampagnes konden lanceren.

Bezig met laden...