Kujdes: Fake Windows Azhurnimi i emailave instalon Cyborg Ransomware

Në Nëntor 2019, filloi një fushatë e re për postë elektronike, duke nxitur kërcënimin e ransomware të Cyborg . E-maili i rremë pretendon se ka origjinë nga Microsoft dhe nxit viktimat të instalojnë azhurnimin më të fundit për Windows.

Email-i i spamit ka një linjë lënde të "Përditësimit Kritik të Microsoft Windows!" dhe trupi i tekstit lexon, "Ju lutemi instaloni azhurnimin më të fundit kritik nga Microsoft i bashkangjitur me këtë email". Shenjat e pikësimit të keq dhe fakti që emaili pretendon se mbajnë skedarin e azhurnuar si shtojcë duhet të jetë flamuri i parë i kuq për të paralajmëruar përdoruesit se diçka nuk është në rregull. Shtojca në vetvete nuk është një instalues ekzekutiv ose .msi, siç mund të pritet nga një skedar aktual patch, por një skedar i rremë .jpg.

Emri i keqdashësit .jpg është i rastit në çdo postë elektronike spam, dhe madhësia zakonisht është 28kb. Dosja nuk është një imazh, por një ekzekutues i maskuar. NET që do të dorëzojë ngarkesën e ransomware Cyborg në sistemin e viktimave. Hapja e skedarit me qëllim të keq .jpg në një redaktues teksti zbulon se ajo ka një seksion të quajtur #Strings që përmban një lidhje me një URL të GitHub që pret një skedar të quajtur "bitcoingenerator.exe." Dosja është shkarkuar nga një llogari me emrin "misterbtc2020" - tani e paqartë dhe e fshirë pasi ekspertët e sigurisë nga TrustWave e hetuan atë. Përmbajtja e vërtetë e "bitcoingenerator.exe" janë zorrë e ransomware Cyborg.

Pasi ekzekuton, ransomware kodon skedarët e viktimës së tij dhe bashkëngjit shtesën ".777" pas secilit skedar të fërguar. Llojet e skedarëve të prekur përfshijnë një numër të madh të shtesave, duke filluar nga dokumentet e teksteve të thjeshta, deri te bazat e të dhënave, skedarët e mediave, dokumentet e MS Office, arkivat dhe PDF. Shënimi i shpërblesës dorëzohet në një skedar të quajtur "Cyborg_DECRYPT.txt" dhe përmban tekstin e mëposhtëm:

T ALL GJITHA FIJET TUAJ janë të koduara nga RYSOMWARE CYBORG

Mos u shqetësoni, ju mund t'i ktheni të gjitha skedarët tuaj!

Të gjitha skedarët tuaj si dokumente, foto, baza të të dhënave dhe të tjera të rëndësishme janë të koduara

Guarantfarë garancie ju japim?

Ju mund të dërgoni një nga skedarët tuaj të koduar dhe ne e deshifrojmë falas.

Ju duhet të ndiqni këto hapa për të deshifruar skedarët tuaj:

1) Dërgoni 500 dollarë bitcoin në portofolin [vargun e portofolit Bitcoin]

2) shkruani në postën tonë elektronike: marceldeneud at yandex dot com

ID e juaj personale: [vargu alfanumeric]

Pas kriptimit të të gjitha skedareve shtesë të përputhjes, ransomware gjithashtu hedh një kopje të ekzekutueshme të tij të quajtur "bot.exe" në dosjen rrënjësore të makinës së sistemit.

Studiuesit e sigurisë zbuluan raste të shumta të infeksioneve të ransomware të Cyborg me shtesa të ndryshme të përdorura, që do të thotë se duhet të ekzistojë një mjet ndërtues për ransomware, që do të thotë se më shumë aktorë të këqij mund të ndërtojnë versionet e tyre dhe të fillojnë fushata të reja sulmi në të ardhmen.