Ако получите имейл от Microsoft, който ви подканва да изтеглите нов ъпдейт за Windows 10, не го отваряйте.
Изследователи по сигурността от Trustwave’s SpiderLabs са открили нова злонамерена кампания, която подправя изпраща имейли от името Microsoft за „спешни актуализации“ цели да зарази системите на потребителите с Cyborg ransomware.
Потребителите, които стават потенциални жертви на атаката, първо получават имейл със заглавие или „Инсталирайте последната актуализация на Microsoft Windows сега!“ или „Критична актуализация за Microsoft Windows!“, което изглежда доста подозрително за всеки по-опитен потребител, тъй като Microsoft винаги пускат нови актуализации и подобрения на операционната си система чрез вградената система Windows Update и никога по имейл. Но прохождащите потребители, които нямат много опит и тепърва започват да се занимават с това, лесно могат да се хванат в капана.
Самият имейл съдържа само един ред текст, който гласи „Моля, инсталирайте последната критична актуализация от Microsoft, приложена към този имейл“. Разширението на файла с фалшивата актуализация също е подвеждащо, тъй като името му фалшиво завършва на .jpg, но въпреки това не става въпрос за снимка, а за изпълним файл. По всичко личи, че тази атака е направена аматьорски и в нея не са вложени почти никакви усилия, което ни навежда над мисълта, че таргетираната група са наистина са новонавлезли потребители, а самите инициатори определено се целят към големи кибер подвизи.
Изпълнимият файл съдържа зловреден код и е .NET
Киборг рансъмуер
След като щракнете върху прикачения файл към имейла, изпълнимият скрипт в него изтегля файл, наречен „bitcoingenerator.exe“ от хранилите в GitHub на акаунт с името misterbtc2020. Точно както и самото приложение в имейла, този файл е .NET компилиран зловреден софтуер, известен като Cyborg ransomware.
След като се активира, ransomware криптира всички файлове в системата на заразения потребител и променя разширенията им на .777 След като приключи с това, автоматично на работния плот се появява файл „Cyborg_DECRYPT.txt“, който представлява бележка за искане на откуп. Накрая вирусът оставя копие от себе си, което се записва във файл „bot.exe“, скрит в root на заразения диск.
В стремежа си да разберат по-добре какви са вариантите за предотвратяване на рансъмуер киборга и какви са възможностите ни, когато системата бъде заразена, екипът на Trustware открива оригиналното име на файла на получения от тях софтуер и го потърсва във VirusTotal. Там те откриват още три проби от този изнудващ софтуер и установяват, че в интернет съществува свободен инструмент за неговото създаване, който може да бъде използван от всеки.