Attention: les faux courriers électroniques Windows Update installent Cyborg Ransomware

En novembre 2019, une nouvelle campagne de courrier électronique de spam a été lancée, repoussant la menace Cyborg ransomware . Le faux courrier électronique prétend provenir de Microsoft et incite les victimes à installer la dernière mise à jour pour Windows.

Le courrier indésirable a pour objet "Critical Microsoft Windows Update!" et le corps du texte indique: "Installez la dernière mise à jour critique de Microsoft jointe à ce courrier électronique". La ponctuation incorrecte et le fait que le courrier électronique prétend porter le fichier de mise à jour en tant que pièce jointe doivent être le tout premier drapeau rouge pour alerter les utilisateurs que quelque chose ne va pas. La pièce jointe elle-même n'est pas un exécutable ou un programme d'installation .msi, comme on pourrait s'y attendre d'un fichier de correctif réel, mais un faux fichier .jpg.

Le nom du fichier malveillant .jpg est aléatoire dans chaque courrier indésirable et sa taille est généralement de 28 Ko. Le fichier n'est pas une image, mais un exécutable .NET déguisé qui transmettra la charge utile de Cyborg ransomware au système de la victime. L’ouverture du fichier .jpg malveillant dans un éditeur de texte révèle qu’il comporte une section nommée #Strings contenant un lien vers une URL GitHub hébergeant un fichier nommé "bitcoingenerator.exe". Le fichier est téléchargé à partir d'un compte nommé "misterbtc2020" - maintenant caduque et supprimé par les experts en sécurité de TrustWave. Le contenu réel de "bitcoingenerator.exe" correspond aux tripes du ransomware Cyborg.

Une fois qu'il est exécuté, le ransomware crypte les fichiers de sa victime et ajoute l'extension ".777" après chaque fichier crypté. Les types de fichiers concernés incluent un grand nombre d'extensions, allant des documents en texte brut aux bases de données, en passant par les fichiers multimédias, les documents MS Office, les archives et les PDF. La note de rançon est livrée dans un fichier nommé "Cyborg_DECRYPT.txt" et contient le texte suivant:

CYBORG RANSOMWARE CRYPTE TOUS VOS FICHIERS

Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers!

Tous vos fichiers tels que documents, photos, bases de données et autres éléments importants sont cryptés

Quelles garanties vous donnons-nous?

Vous pouvez envoyer un de vos fichiers cryptés et nous les décryptons gratuitement.

Vous devez suivre ces étapes pour déchiffrer vos fichiers:

1) Envoyez 500 $ bitcoin au portefeuille [chaîne de portefeuille Bitcoin]

2) écrire sur notre adresse électronique: marceldeneud at yandex dot com

Votre identifiant personnel: [chaîne alphanumérique]

Après avoir chiffré tous les fichiers d’extension correspondants, le ransomware place également une copie de son exécutable nommé "bot.exe" dans le dossier racine du lecteur système.

Des chercheurs en sécurité ont découvert plusieurs cas d'infections par le ransomware Cyborg avec différentes extensions utilisées, ce qui signifie qu'un outil de création de ransomware doit exister, ce qui signifie qu'un plus grand nombre d'acteurs malveillants pourraient créer leurs propres versions et lancer de nouvelles campagnes d'attaque.