Не инсталирайте този ъпдейт на Windows 10 – съдържа рансъмуер

12
6116

Ако получите имейл от Microsoft, който ви подканва да изтеглите нов ъпдейт за Windows 10, не го отваряйте.

Изследователи по сигурността от Trustwave’s SpiderLabs са открили нова злонамерена кампания, която подправя изпраща имейли от името Microsoft за „спешни актуализации“ цели да зарази системите на потребителите с Cyborg ransomware.

Потребителите, които стават потенциални жертви на атаката, първо получават имейл със заглавие или „Инсталирайте последната актуализация на Microsoft Windows сега!“ или „Критична актуализация за Microsoft Windows!“, което изглежда доста подозрително за всеки по-опитен потребител, тъй като Microsoft винаги пускат нови актуализации и подобрения на операционната си система чрез вградената система Windows Update и никога по имейл. Но прохождащите потребители, които нямат много опит и тепърва започват да се занимават с това, лесно могат да се хванат в капана.

Самият имейл съдържа само един ред текст, който гласи „Моля, инсталирайте последната критична актуализация от Microsoft, приложена към този имейл“. Разширението на файла с фалшивата актуализация също е подвеждащо, тъй като името му фалшиво завършва на .jpg, но въпреки това не става въпрос за снимка, а за изпълним файл. По всичко личи, че тази атака е направена аматьорски и в нея не са вложени почти никакви усилия, което ни навежда над мисълта, че таргетираната група са наистина са новонавлезли потребители, а самите инициатори определено се целят към големи кибер подвизи.

Изпълнимият файл съдържа зловреден код и е .NET

Киборг рансъмуер

След като щракнете върху прикачения файл към имейла, изпълнимият скрипт в него изтегля файл, наречен „bitcoingenerator.exe“ от хранилите в GitHub на акаунт с името misterbtc2020. Точно както и самото приложение в имейла, този файл е .NET компилиран зловреден софтуер, известен като Cyborg ransomware.

След като се активира, ransomware криптира всички файлове в системата на заразения потребител и променя разширенията им на .777 След като приключи с това, автоматично на работния плот се появява файл „Cyborg_DECRYPT.txt“, който представлява бележка за искане на откуп. Накрая вирусът оставя копие от себе си, което се записва във файл „bot.exe“, скрит в root на заразения диск.

В стремежа си да разберат по-добре какви са вариантите за предотвратяване на рансъмуер киборга и какви са възможностите ни, когато системата бъде заразена, екипът на Trustware открива оригиналното име на файла на получения от тях софтуер и го потърсва във VirusTotal. Там те откриват още три проби от този изнудващ софтуер и установяват, че в интернет съществува свободен инструмент за неговото създаване, който може да бъде използван от всеки.

Изследователите също откриват акаунт в GitHub с името Cyborg-Ransomware, който съдържа хранилище с бинарните файлове за създаване на ransomware, както и второ хранилище с връзка към руската версия на същия инструмент за създаване на вируса, хостван на друг сайт.

12
ДОБАВИ КОМЕНТАР

avatar
6 Коментари
6 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
DebianBuster
DebianBuster

„изтегля файл, наречен „bitcoingenerator.exe“ от хранилите в GitHub“ ем, Гитхъб нали е на M$… Що не го резнат? Това е голяма комедия. Да им заразяват сосбствената ОС и да си хостват вируса на техен сървър..

ФАЛШИВА СТАТИЯ ФАЛШИВО ЗАГЛАВИЕ
ФАЛШИВА СТАТИЯ ФАЛШИВО ЗАГЛАВИЕ

ЗАГЛАВИЕТО Е ФЕЙК НЮЗ И ГЛАСИ: „ЪПДЕЙТ ЗА УИНДОУС СЪДЪРЖА РАНСЪМУЕЪР, А ЗАГЛАВИЕТО ТРЯБВА ДА Е:“СПАМ ИМЕЙЛ ПРЕПРАЩА КЪМ „ЪПДЕЙТ“ ЗА УИНДОУС КОЙТО СЪДЪРЖА РАНСЪМУЕР“ !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Име
Име

Нарочно е подвеждащо, за да кликнеш. Clickbait.
Изпростя Интернетът, заедно с матряла…

Чип за зеле
Чип за зеле

Ако получа подобно съобщение от Майкрософт, първото което ще си помисля е, че никога ни съм им давал имейл адрес, тъй че откъде го знаят?

user
user

Не е нужно да им даваш имейл адрес, microsoft google facebook зная всичко за теб, няма си ни най малка представа каква информация събират тези компании за хората.

DebianBuster
DebianBuster

То да са само „тези компании“.. Е, тук, във форума. Един пост да искаш да напишеш, искат ти пощата моментално. Тез пощи станаха като ку*ви.. Яко плющяне.. Вече им изгубих бройката колко имам, коя за къде..

Ти си сложи Вирус 10...
Ти си сложи Вирус 10...

Пък след това пак се питай откъде МикроМеките ти знаят и e-mail адреса, и паролата за него, и всичките ти акаунти в социални мрежи и паролите за тях, и всичките ти регистрации в месинджърите… Вируса записва всеки натиснат от потребителя клавиш! И го праща на M$.

Киро ракията
Киро ракията

Проблема ли е го получа , въпреки, че нямам електронна поща!???!?? 🙂

dedal
dedal

Да ти го пратя по български пощи, само ще трябва да си го препишеш от листа.

Шебек
Шебек

Е хубу де а линк за критичния ъпдейт защо не дадохте?

Кокошка
Кокошка

Ужас! Аз така си заразих линукса! Добре, че той не става за работа и с един формат и преинсталация всичко се оправи 🙂

Калин III
Калин III

А тия спецове от Trustwave’s SpiderLabs кога ще открият злонамерената компания, която ми праща минимум по 3 имейла дневно, за да ми припомни, че съм спечелил 8,2 млн. USD от националната лотария на Нигерия? При това в цели 3 пощи – abv, gmail и yahoo! Хм, това последното вероятно значи, че съм спечелил общо 24,6 млн, нали? Ехаааааааааааа!