Cuidado: E-Mails Falsos do Windows Update Instalam o Cyborg Ransomware
Em novembro de 2019, uma nova campanha de spam foi lançada, pressionando a ameaça Cyborg Ransomware. O e-mail falso alega ser originário da Microsoft e exorta as vítimas a instalar a atualização mais recente do Windows.
O email de spam tem uma linha de assunto "Critical Microsoft Windows Update!" e o corpo do texto diz: "Instale a atualização crítica mais recente da Microsoft anexada a este email". A pontuação incorreta e o fato de o email alegar carregar o arquivo de atualização como um anexo devem ser a primeira bandeira vermelha a alertar os usuários de que algo está errado. O anexo em si não é um executável ou um instalador .msi, como seria de esperar de um arquivo de patch real, mas um arquivo .jpg falso.
O nome do arquivo .jpg malicioso é randomizado em todos os emails de spam e o tamanho geralmente é de 28kb. O arquivo não é uma imagem, mas um executável .NET disfarçado que fornecerá a carga útil do ransomware Cyborg no sistema da vítima. A abertura do arquivo .jpg malicioso em um editor de texto revela que ele possui uma seção chamada #Strings que contém um link para um URL do GitHub que hospeda um arquivo chamado "bitcoingenerator.exe". O arquivo é baixado de uma conta chamada "misterbtc2020" - agora extinta e excluída depois que os especialistas em segurança da TrustWave o investigaram. O conteúdo real do "bitcoingenerator.exe" é a essência do ransomware Cyborg.
Uma vez executado, o ransomware criptografa os arquivos da vítima e anexa a extensão ".777" após cada arquivo codificado. Os tipos de arquivos afetados incluem um grande número de extensões, desde documentos de texto sem formatação a bancos de dados, arquivos de mídia, documentos do MS Office, arquivos e PDFs. A nota de resgate é entregue em um arquivo chamado "Cyborg_DECRYPT.txt" e contém o seguinte texto:
TODOS OS SEUS ARQUIVOS FORAM ENCRIPTADOS PELO CYBORG RANSOMWARE
Não se preocupe, você pode retornar todos os seus arquivos!
Todos os seus arquivos, como documentos, fotos, bancos de dados e outros importantes, são criptografados
Que garantias lhe damos?
Você pode enviar um dos seus arquivos criptografados e nós os descriptografamos gratuitamente.
Você deve seguir estas etapas Para descriptografar seus arquivos:
1) Envie $ 500 bitcoin para a carteira [string da carteira Bitcoin]
2) escreva em nosso e-mail: marceldeneud no yandex dot com
Seu ID pessoal: [sequência alfanumérica]
Depois de criptografar todos os arquivos de extensão correspondentes, o ransomware também descarta uma cópia do executável chamado "bot.exe" na pasta raiz da unidade do sistema.
Os pesquisadores de segurança descobriram várias instâncias de infecções por Cyborg ransomware com diferentes extensões usadas, o que significa que uma ferramenta construtora para o ransomware deve existir, o que significa que mais maus atores podem criar suas próprias versões e lançar novas campanhas de ataque no futuro.