当心：假的Windows更新电子邮件安装了Cyborg Ransomware

在2019年11月，发起了一个新的垃圾邮件电子邮件活动，从而推动了Cyborg勒索软件的威胁。伪造的电子邮件声称起源于Microsoft，并敦促受害者为Windows安装最新更新。

垃圾邮件的主题行为"关键的Microsoft Windows Update！"。正文显示为"请安装此电子邮件附带的Microsoft最新的重要更新"。错误的标点符号以及电子邮件声称将更新文件作为附件的事实应该是第一个警告用户出现问题的警告。附件本身不是可执行文件或.msi安装程序（如实际补丁文件所期望的那样），而是伪造的.jpg文件。

恶意.jpg的名称在每封垃圾邮件中都是随机的，大小通常为28kb。该文件不是图像，而是伪装的.NET可执行文件，它将把Cyborg勒索软件有效载荷提供给受害者的系统。在文本编辑器中打开恶意的.jpg文件会发现该文件具有名为#Strings的部分，其中包含指向GitHub URL的链接，该URL托管着名为" bitcoingenerator.exe"的文件。该文件是从名为" misterbtc2020"的帐户下载的-在TrustWave的安全专家对其进行调查之后，该文件现已失效并删除。 " bitcoingenerator.exe"的真实内容是Cyborg勒索软件的胆量。

一旦执行， 勒索软件将加密受害者的文件，并在每个加扰的文件后附加" .777"扩展名。受影响的文件类型包括大量扩展，范围从纯文本文档到数据库，媒体文件，MS Office文档，档案和PDF。赎金记录以名为" Cyborg_DECRYPT.txt"的文件形式提供，并包含以下文本：

CYBORG RANSOMWARE加密了您的所有文件

不用担心，您可以返回所有文件！

您的所有文件（如文档，照片，数据库和其他重要文件）均已加密

我们为您提供什么保证？

您可以发送一个加密文件，我们将免费对其进行解密。

您必须按照以下步骤解密文件：

1）将$ 500比特币发送到钱包[比特币钱包字符串]

2）在我们的电子邮件中写信：yandex dot com上的marceldeneud

您的个人ID：[字母数字字符串]

加密所有匹配的扩展文件后，勒索软件还会将其名为" bot.exe"的可执行文件的副本删除到系统驱动器的根文件夹中。

安全研究人员发现了多个使用不同扩展名的Cyborg勒索软件感染实例，这意味着必须存在一个用于勒索软件的构建器工具，这意味着更多的不良行为者可以构建自己的版本并在将来发起新的攻击活动。