Осторожно: фальшивые сообщения об обновлениях Windows устанавливают Cyborg Ransomware
В ноябре 2019 года была запущена новая кампания по рассылке спама, которая подтолкнула киборг-вымогателей . Фальшивое электронное письмо утверждает, что исходит от Microsoft, и призывает жертв установить последнее обновление для Windows.
В спам-письме есть тема "Критическое обновление Microsoft Windows!" и текст текста гласит: «Пожалуйста, установите последнее критическое обновление от Microsoft, прилагаемое к этому письму». Плохая пунктуация и тот факт, что в электронном письме утверждается, что он содержит файл обновления в виде вложения, должен быть первым красным флажком, предупреждающим пользователей, что что-то не так. Само вложение не является исполняемым файлом или установщиком .msi, как можно было бы ожидать от фактического файла исправления, а является поддельным .jpg файлом.
Имя вредоносного файла .jpg рандомизировано в каждом спам-сообщении, и его размер обычно составляет 28 КБ. Файл представляет собой не изображение, а замаскированный исполняемый файл .NET, который доставит полезную нагрузку Cyborg Ransomware в систему жертвы. Открытие вредоносного файла .jpg в текстовом редакторе показывает, что в нем есть раздел с именем #Strings, содержащий ссылку на URL-адрес GitHub, содержащий файл с именем «bitcoingenerator.exe». Файл загружается из учетной записи с именем «misterbtc2020» - теперь перестал работать и удален после того, как эксперты по безопасности из TrustWave исследовали его. Настоящее содержимое "bitcoingenerator.exe" - это кишки киборг-вымогателей.
После выполнения вымогатель шифрует файлы своей жертвы и добавляет расширение «.777» после каждого зашифрованного файла. Затронутые типы файлов включают в себя огромное количество расширений - от простых текстовых документов до баз данных, медиафайлов, документов MS Office, архивов и PDF-файлов. Примечание о выкупе доставляется в файле с именем «Cyborg_DECRYPT.txt» и содержит следующий текст:
ВСЕ ВАШИ ФАЙЛЫ ЗАПИСАНЫ КИБОРГОМ RANSOMWARE
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как документы, фотографии, базы данных и другие важные, зашифрованы
Какие гарантии мы даем вам?
Вы можете отправить один из ваших зашифрованных файлов, и мы расшифруем его бесплатно.
Вы должны выполнить следующие шаги, чтобы расшифровать ваши файлы:
1) Отправить биткойн на $ 500 на кошелек [Строка биткойн-кошелька]
2) напишите на наш e-mail: marceldeneud на яндекс дот ком
Ваш личный идентификатор: [буквенно-цифровая строка]
После шифрования всех соответствующих файлов расширений вымогатель также удаляет копию своего исполняемого файла с именем «bot.exe» в корневой папке системного диска.
Исследователи безопасности обнаружили множество случаев заражения киборгом-вымогателем с использованием различных расширений, что означает, что должен существовать инструмент для создания вымогателей, а это означает, что больше злоумышленников могут создавать свои собственные версии и запускать новые атаки в будущем.