Oprezno sa mailovima, pojavio se novi rasomware u vidu Windows ažuriranja

 

Hakeri su počeli da koriste novu tehniku za napade na računare korisnika. Nedavno su započeli kampanju, u kojoj se predstavljaju kao Microsoft i zahtjevaju od korisnika da instalira Windows update, koji je u stvari ransomware ili ucjenjivački softver.

Istraživači iz Trustwave SpiderLabs-a, otkrili su spam poruke koje imaju dramatične naslove kao što su „Odmah instalirajte Microsoft Windows Update!“ ili „Kritični Microsoft Windows Update!“, čiji je cilj da „navuku“ korisnike da kliknu na linkove „update-a“ unutar email-a.

Novi ransomware u vidu Windows ažuriranja
Novi ransomware u vidu Windows ažuriranja

U porukama se nalazi samo jedna rečenica, a interesantno je da su prva dva slova napisana velikim slovima. Tako „nepismen“ mail teško da bi poslao Microsoft, a da ne ulazimo u to da update nikad ne bi zahtijevao preko email-a, s obzirom da ima mnogo direktnije načine da korisnike „natjera“ na nadogradnju OS-a.

U pomenutim porukama, od korisnika se traži da klikne na prilog u poruci kako bi preuzeo „update“. Iako je taj fajl prividno ima .JPG ekstenziju, u stvari je izvršni .NET downloader, koji će umjesto Windows update-a instalirati ransomware na računar i zaraziti sistem. Klikom na taj fajl, preuzeće se novi izvršni fajl (bitcoingenerator.exe) sa Github naloga misterbtc2020 (već je uklonjen sa sistema), koji je u stvari .NET kompajlirani Cyborg ransomware.

Pročitajte još: Objavljeni Ransomware dekriptori za Yatron, WannaCryFake i FortuneCrypt

Kao i svi ostali programi tog tipa i bitcoingenerator.exe kriptuje podatke na hard disku i mijenja im ekstenziju u .777. Takođe, pravi i kopiju sebe pod imenom bot.exe, koji se krije u root-u inficiranog drajva. Na desktopu kriptovanog računara pojaviće se fajl „Cybor_DECRYPT.txt“ u okviru kojeg stoji zahtjev za otkupom podataka, a za to korisnik mora da plati 500 dolara.

Kada su istraživači detaljnije pogledali ransomware, pronašli su tri slična primjera, kao i builder za ucjenjivački softver. Otkrili su i YouTube video koji pokazuje linkove ka builder-u na Github-u sa dva repozitorija – ka binarnom ransomware builder-u, u engleskoj i ruskoj verziji.

(TechSpot)

Dopadaju vam se tekstovi na IT-mixer.com? Podržite nas putem društvenih mreža na linkovima ispod. Lajkujte našu stranicu na Facebooku, budite informisani u svakom momentu.