伪装成Windows更新的PC勒索勒索软件

转自HackRead,作者Sudais,蓝色摩卡译,合作站点转载请注明原文译者和出处为超级盾!

如果您今天像我一样更新了Windows,那么本文可能最终会吓到您。最新发现,恶意活动以更新操作系统为借口安装了勒索软件。

这一款名为Cyborg勒索软件,攻击过程如下:攻击者试图通过发送电子邮件来提示诱使用户采取行动,即“立即安装最新的Microsoft Windows Update!重要的Microsoft Windows更新!”

此外,电子邮件本身仅包含一个句子(很明显,有人混淆了主题和消息部分之间的区别)。这是电子邮件的外观:

图片:TrustWave

尽管该文件大小为28KB,看起来是JPG格式,但它作为可执行文件打开,是.NET下载程序,引起了人们的怀疑。

根据TrustWave的博客文章,这部分归因于文件扩展名的欺骗是黑客使用的非常普遍的做法,因此也立即警告用户可能已启用的任何防病毒软件–这也表明了使用最佳功能的重要性。那里提供防病毒软件。

如果继续执行阶段,则会 从Github帐户“ misterbtc2020”秘密下载名为bitcoingenerator.exe的可执行文件。尽管该帐户已被删除,但从启用之日起,它的确为我们提供了可观的信息。

图片:TrustWave

然后,勒索软件将加密所有用户文件,并在文件后加上扩展名“ .777”。同时,为了实现其最终的货币动机,还留下一条通知,要求受害者通过比特币支付500美元。

图片:TrustWave

但是,整个方案还有一件更有趣的事情。事实证明,任何人都可以使用Github 上的“ Cyborg Builder Ransomware”生成类似的勒索软件,任何人都可以使用。

图片:TrustWave

TrustWave进一步证明了这一点,他最初发现了勒索软件并以以下内容解释:

我们比较了该垃圾邮件中由所述生成器(Ransom.exe)生成的样本,它们相似!只有叠加层有所不同,因为它包含构建者用户输入的数据

总而言之,在这一特定活动中,没有什么可以比高级欺骗获利更快了。因此,我们可以公平地说,如果任何用户花费少量精力找出他们所接收信息的真实来源,那么这种攻击就很容易避免。

End

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20191123A04DJZ00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券