伪装成Windows更新的PC勒索勒索软件

转自HackRead，作者Sudais，蓝色摩卡译，合作站点转载请注明原文译者和出处为超级盾！

如果您今天像我一样更新了Windows，那么本文可能最终会吓到您。最新发现，恶意活动以更新操作系统为借口安装了勒索软件。

这一款名为Cyborg勒索软件，攻击过程如下：攻击者试图通过发送电子邮件来提示诱使用户采取行动，即“立即安装最新的Microsoft Windows Update！重要的Microsoft Windows更新！”

此外，电子邮件本身仅包含一个句子（很明显，有人混淆了主题和消息部分之间的区别）。这是电子邮件的外观：

图片：TrustWave

尽管该文件大小为28KB，看起来是JPG格式，但它作为可执行文件打开，是.NET下载程序，引起了人们的怀疑。

根据TrustWave的博客文章，这部分归因于文件扩展名的欺骗是黑客使用的非常普遍的做法，因此也立即警告用户可能已启用的任何防病毒软件–这也表明了使用最佳功能的重要性。那里提供防病毒软件。

如果继续执行阶段，则会 从Github帐户“ misterbtc2020”秘密下载名为bitcoingenerator.exe的可执行文件。尽管该帐户已被删除，但从启用之日起，它的确为我们提供了可观的信息。

图片：TrustWave

然后，勒索软件将加密所有用户文件，并在文件后加上扩展名“ .777”。同时，为了实现其最终的货币动机，还留下一条通知，要求受害者通过比特币支付500美元。

图片：TrustWave

但是，整个方案还有一件更有趣的事情。事实证明，任何人都可以使用Github 上的“ Cyborg Builder Ransomware”生成类似的勒索软件，任何人都可以使用。

图片：TrustWave

TrustWave进一步证明了这一点，他最初发现了勒索软件并以以下内容解释：

我们比较了该垃圾邮件中由所述生成器（Ransom.exe）生成的样本，它们相似！只有叠加层有所不同，因为它包含构建者用户输入的数据。

总而言之，在这一特定活动中，没有什么可以比高级欺骗获利更快了。因此，我们可以公平地说，如果任何用户花费少量精力找出他们所接收信息的真实来源，那么这种攻击就很容易避免。

End