Осторожно: фальшивые сообщения об обновлениях Windows устанавливают Cyborg Ransomware

В ноябре 2019 года была запущена новая кампания по рассылке спама, которая подтолкнула киборг-вымогателей . Фальшивое электронное письмо утверждает, что исходит от Microsoft, и призывает жертв установить последнее обновление для Windows.

В спам-письме есть тема "Критическое обновление Microsoft Windows!" и текст текста гласит: «Пожалуйста, установите последнее критическое обновление от Microsoft, прилагаемое к этому письму». Плохая пунктуация и тот факт, что в электронном письме утверждается, что он содержит файл обновления в виде вложения, должен быть первым красным флажком, предупреждающим пользователей, что что-то не так. Само вложение не является исполняемым файлом или установщиком .msi, как можно было бы ожидать от фактического файла исправления, а является поддельным .jpg файлом.

Имя вредоносного файла .jpg рандомизировано в каждом спам-сообщении, и его размер обычно составляет 28 КБ. Файл представляет собой не изображение, а замаскированный исполняемый файл .NET, который доставит полезную нагрузку Cyborg Ransomware в систему жертвы. Открытие вредоносного файла .jpg в текстовом редакторе показывает, что в нем есть раздел с именем #Strings, содержащий ссылку на URL-адрес GitHub, содержащий файл с именем «bitcoingenerator.exe». Файл загружается из учетной записи с именем «misterbtc2020» - теперь перестал работать и удален после того, как эксперты по безопасности из TrustWave исследовали его. Настоящее содержимое "bitcoingenerator.exe" - это кишки киборг-вымогателей.

После выполнения вымогатель шифрует файлы своей жертвы и добавляет расширение «.777» после каждого зашифрованного файла. Затронутые типы файлов включают в себя огромное количество расширений - от простых текстовых документов до баз данных, медиафайлов, документов MS Office, архивов и PDF-файлов. Примечание о выкупе доставляется в файле с именем «Cyborg_DECRYPT.txt» и содержит следующий текст:

ВСЕ ВАШИ ФАЙЛЫ ЗАПИСАНЫ КИБОРГОМ RANSOMWARE

Не волнуйтесь, вы можете вернуть все свои файлы!

Все ваши файлы, такие как документы, фотографии, базы данных и другие важные, зашифрованы

Какие гарантии мы даем вам?

Вы можете отправить один из ваших зашифрованных файлов, и мы расшифруем его бесплатно.

Вы должны выполнить следующие шаги, чтобы расшифровать ваши файлы:

1) Отправить биткойн на $ 500 на кошелек [Строка биткойн-кошелька]

2) напишите на наш e-mail: marceldeneud на яндекс дот ком

Ваш личный идентификатор: [буквенно-цифровая строка]

После шифрования всех соответствующих файлов расширений вымогатель также удаляет копию своего исполняемого файла с именем «bot.exe» в корневой папке системного диска.

Исследователи безопасности обнаружили множество случаев заражения киборгом-вымогателем с использованием различных расширений, что означает, что должен существовать инструмент для создания вымогателей, а это означает, что больше злоумышленников могут создавать свои собственные версии и запускать новые атаки в будущем.