Cuidado: los falsos correos electrónicos de actualización de Windows instalan Cyborg Ransomware
En noviembre de 2019, se lanzó una nueva campaña de correo electrónico no deseado, empujando la amenaza del ransomware Cyborg . El correo electrónico falso dice ser originario de Microsoft e insta a las víctimas a instalar la última actualización para Windows.
El correo electrónico no deseado tiene un asunto de "¡Actualización crítica de Microsoft Windows!" y el cuerpo del texto dice: "Instale la última actualización crítica de Microsoft adjunta a este correo electrónico". La mala puntuación y el hecho de que el correo electrónico afirma llevar el archivo de actualización como un archivo adjunto debería ser la primera señal de alerta para alertar a los usuarios de que algo está mal. El archivo adjunto en sí no es un ejecutable o un instalador .msi, como podría esperarse de un archivo de parche real, sino un archivo .jpg falso.
El nombre del .jpg malicioso se aleatoriza en cada correo electrónico no deseado, y el tamaño suele ser de 28 kb. El archivo no es una imagen, sino un ejecutable .NET disfrazado que entregará la carga útil del ransomware Cyborg al sistema de la víctima. Al abrir el archivo .jpg malicioso en un editor de texto, se revela que tiene una sección llamada #Strings que contiene un enlace a una URL de GitHub que aloja un archivo llamado "bitcoingenerator.exe". El archivo se descarga de una cuenta llamada "misterbtc2020", ahora desapareció y se eliminó después de que expertos en seguridad de TrustWave lo investigaron. Los contenidos reales del "bitcoingenerator.exe" son las entrañas del ransomware Cyborg.
Una vez que se ejecuta, el ransomware encripta los archivos de sus víctimas y agrega la extensión ".777" después de cada archivo codificado. Los tipos de archivos afectados incluyen una gran cantidad de extensiones que van desde documentos de texto sin formato a bases de datos, archivos multimedia, documentos de MS Office, archivos y archivos PDF. La nota de rescate se entrega en un archivo llamado "Cyborg_DECRYPT.txt" y contiene el siguiente texto:
TODOS SUS ARCHIVOS ESTÁN ENCRIPTADOS POR CYBORG RANSOMWARE
¡No se preocupe, puede devolver todos sus archivos!
Todos sus archivos como documentos, fotos, bases de datos y otros importantes están encriptados
¿Qué garantías te damos?
Puede enviar uno de sus archivos cifrados y nosotros lo desciframos de forma gratuita.
Debe seguir estos pasos para descifrar sus archivos:
1) Enviar $ 500 bitcoin a la billetera [cadena de billetera Bitcoin]
2) escriba en nuestro correo electrónico: marceldeneud en yandex dot com
Su identificación personal: [cadena alfanumérica]
Después de cifrar todos los archivos de extensión coincidentes, el ransomware también suelta una copia de su ejecutable llamado "bot.exe" en la carpeta raíz de la unidad del sistema.
Los investigadores de seguridad descubrieron múltiples instancias de infecciones de Cyborg ransomware con diferentes extensiones utilizadas, lo que significa que debe existir una herramienta de creación para el ransomware, lo que significa que más actores malos podrían construir sus propias versiones y lanzar nuevas campañas de ataque en el futuro.