Akta dig: falska Windows Update-e-post installerar Cyborg Ransomware
I november 2019 lanserades en ny e-postkampanj för skräp, som driver Cyborgs ransomware- hot. Det falska e-postmeddelandet påstår sig komma från Microsoft och uppmanar offren att installera den senaste uppdateringen för Windows.
Skräppostmeddelandet har en ämnesrad av "Kritisk Microsoft Windows Update!" och texten består av "Installera den senaste kritiska uppdateringen från Microsoft bifogad detta e-postmeddelande". Den dåliga skiljeteckningen och det faktum att e-postmeddelandet påstår sig bära uppdateringsfilen som en bilaga bör vara den allra första röda flaggan som varnar användare om att något är fel. Bilagan i sig är inte en körbar eller en .msi-installerare, som man kan förvänta sig från en verklig patchfil, utan en falsk .jpg-fil.
Namnet på det skadliga .jpg slumpmässigt i varje skräppost, och storleken är vanligtvis 28 kb. Filen är inte en bild, utan en förklädd. NET-körbar som kommer att leverera Cyborg ransomware nyttolast till offrets system. Om du öppnar den skadliga .jpg-filen i en textredigerare avslöjas att den har ett avsnitt med namnet #Strings som innehåller en länk till en GitHub-URL som är värd för en fil med namnet "bitcoingenerator.exe." Filen laddas ner från ett konto som heter "misterbtc2020" - nu avaktiverat och raderat efter att säkerhetsexperter från TrustWave undersökte den. Det verkliga innehållet i "bitcoingenerator.exe" är tarmarna i Cyborgs ransomware.
När den har körts krypterar ransomware dess offerets filer och lägger till ".777" -tillägget efter varje kodad fil. Påverkade filtyper inkluderar ett stort antal tillägg som sträcker sig från vanliga textdokument till databaser, mediefiler, MS Office-dokument, arkiv och PDF-filer. Lösningsmeddelandet levereras i en fil med namnet "Cyborg_DECRYPT.txt" och innehåller följande text:
ALLA FILER KONTROLLERAS AV CYBORG RANSOMWARE
Oroa dig inte, du kan returnera alla dina filer!
Alla dina filer som dokument, foton, databaser och andra viktiga är krypterade
Vilka garantier ger vi dig?
Du kan skicka en av dina krypterade filer och vi dekrypterar den gratis.
Du måste följa dessa steg för att dekryptera dina filer:
1) Skicka $ 500 bitcoin till plånbok [Bitcoin plånboksträng]
2) skriv på vår e-post: marceldeneud på yandex dot com
Din personliga ID: [alfanumerisk sträng]
Efter kryptering av alla matchande förlängningsfiler tappar ransomware också en kopia av dess körbara namngivna "bot.exe" i rotmappen på systemenheten.
Säkerhetsforskare upptäckte flera förekomster av Cyborg-ransomware-infektioner med olika tillägg som används, vilket innebär att ett byggverktyg för ransomware måste existera, vilket innebär att fler dåliga aktörer kan bygga sina egna versioner och lansera nya attackkampanjer i framtiden.