Achtung: Gefälschte Windows Update-E-Mails installieren Cyborg Ransomware
Im November 2019 wurde eine neue Spam-E-Mail-Kampagne gestartet, die die Cyborg-Ransomware- Bedrohung eindämmt . Die gefälschte E-Mail soll von Microsoft stammen und fordert die Opfer auf, das neueste Update für Windows zu installieren.
Die Spam-E-Mail enthält die Betreffzeile "Kritisches Microsoft Windows Update!" und der Textkörper lautet: "Bitte installieren Sie das neueste wichtige Update von Microsoft, das an diese E-Mail angehängt ist." Die schlechte Zeichensetzung und die Tatsache, dass die E-Mail behauptet, die Aktualisierungsdatei als Anhang zu führen, sollten die allererste rote Flagge sein, die Benutzer auf einen Fehler aufmerksam macht. Der Anhang selbst ist keine ausführbare Datei oder ein MSI-Installationsprogramm, wie von einer tatsächlichen Patchdatei zu erwarten, sondern eine gefälschte JPG-Datei.
Der Name der böswilligen .jpg-Datei wird in jeder Spam-E-Mail zufällig ausgewählt, und die Größe beträgt normalerweise 28 KB. Die Datei ist kein Image, sondern eine getarnte .NET-Programmdatei, die die Nutzdaten der Cyborg-Ransomware auf das System des Opfers überträgt. Das Öffnen der schädlichen JPG-Datei in einem Texteditor zeigt, dass sie einen Abschnitt mit dem Namen #Strings enthält, der einen Link zu einer GitHub-URL enthält, die eine Datei mit dem Namen "bitcoingenerator.exe" hostet. Die Datei wird von einem Konto mit dem Namen "misterbtc2020" heruntergeladen und gelöscht, nachdem Sicherheitsexperten von TrustWave dies untersucht haben. Der eigentliche Inhalt der "bitcoingenerator.exe" ist der Mut der Cyborg-Ransomware.
Sobald es ausgeführt wird, verschlüsselt die Ransomware die Dateien des Opfers und hängt nach jeder verschlüsselten Datei die Erweiterung ".777" an. Betroffene Dateitypen umfassen eine Vielzahl von Erweiterungen, die von Nur-Text-Dokumenten bis zu Datenbanken, Mediendateien, MS Office-Dokumenten, Archiven und PDFs reichen. Der Lösegeldschein wird in einer Datei mit dem Namen "Cyborg_DECRYPT.txt" geliefert und enthält den folgenden Text:
ALLE IHRE DATEIEN WERDEN MIT CYBORG RANSOMWARE VERSCHLÜSSELT
Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Alle Ihre Dateien wie Dokumente, Fotos, Datenbanken und andere wichtige Daten werden verschlüsselt
Welche Garantien geben wir Ihnen?
Sie können eine Ihrer verschlüsselten Dateien senden und wir entschlüsseln sie kostenlos.
Sie müssen die folgenden Schritte ausführen, um Ihre Dateien zu entschlüsseln:
1) Senden Sie 500 USD Bitcoin an die Brieftasche [Bitcoin-Brieftaschen-Zeichenfolge]
2) schreiben sie auf unsere e-mail: marceldeneud bei yandex dot com
Ihre persönliche ID: [alphanumerische Zeichenfolge]
Nachdem alle passenden Erweiterungsdateien verschlüsselt wurden, legt die Ransomware auch eine Kopie ihrer ausführbaren Datei mit dem Namen "bot.exe" im Stammverzeichnis des Systemlaufwerks ab.
Sicherheitsforscher entdeckten mehrere Fälle von Cyborg-Ransomware-Infektionen mit verschiedenen verwendeten Erweiterungen. Dies bedeutet, dass ein Builder-Tool für die Ransomware vorhanden sein muss. Dies bedeutet, dass in Zukunft mehr schlechte Akteure ihre eigenen Versionen erstellen und neue Angriffskampagnen starten können.