當心：假的Windows更新電子郵件安裝了Cyborg Ransomware

在2019年11月，發起了一個新的垃圾郵件電子郵件活動，以推動Cyborg勒索軟件威脅。偽造的電子郵件聲稱起源於Microsoft，並敦促受害者為Windows安裝最新更新。

垃圾郵件的主題行為"關鍵的Microsoft Windows Update！"。正文顯示為"請安裝此電子郵件附帶的Microsoft最新的重要更新"。錯誤的標點符號以及電子郵件聲稱將更新文件作為附件的事實應該是第一個警告用戶出現問題的警告。附件本身不是可執行文件或.msi安裝程序（如實際補丁文件所期望的那樣），而是偽造的.jpg文件。

惡意.jpg的名稱在每封垃圾郵件中都是隨機的，大小通常為28kb。該文件不是圖像，而是偽裝的.NET可執行文件，它將把Cyborg勒索軟件有效載荷提供給受害者的系統。在文本編輯器中打開惡意的.jpg文件會發現該文件具有名為#Strings的部分，其中包含指向GitHub URL的鏈接，該URL託管著名為" bitcoingenerator.exe"的文件。該文件是從名為" misterbtc2020"的帳戶下載的-在TrustWave的安全專家對其進行調查之後，該文件現已解散並刪除。 " bitcoingenerator.exe"的真實內容是Cyborg勒索軟件的膽量。

一旦執行， 勒索軟件將加密受害者的文件，並在每個加擾的文件後附加" .777"擴展名。受影響的文件類型包括從純文本文檔到數據庫，媒體文件，MS Office文檔，檔案和PDF的大量擴展名。贖金記錄以名為" Cyborg_DECRYPT.txt"的文件形式提供，並包含以下文本：

CYBORG RANSOMWARE加密了您的所有文件

不用擔心，您可以返回所有文件！

您的所有文件（如文檔，照片，數據庫和其他重要文件）均已加密

我們為您提供什麼保證？

您可以發送一個加密文件，我們將免費對其進行解密。

您必須按照以下步驟解密文件：

1）將$ 500比特幣發送到錢包[比特幣錢包字符串]

2）在我們的電子郵件中寫信：yandex dot com上的marceldeneud

您的個人ID：[字母數字字符串]

加密所有匹配的擴展文件後，勒索軟件還將其可執行文件" bot.exe"的副本刪除到系統驅動器的根文件夾中。

安全研究人員發現了多個使用不同擴展名的Cyborg勒索軟件感染實例，這意味著必須存在一個用於勒索軟件的構建器工具，這意味著更多的不良行為者可以構建自己的版本並在將來發起新的攻擊活動。