Исследователи безопасности из SpiderLabs Trustwave обнаружили новую атаку, которая подделывает срочные электронные письма с обновлениями от Microsoft.

Люди, которые открывают эти письма. заражают свои системы с помощью вымогателей Cyborg, отмечают исследователи.

Пользователи сначала получают электронное письмо с темой «Установи последнюю версию Microsoft Windows Update прямо сейчас!» или «Критическое обновление Microsoft Windows!» что уже подозрительно, так как Microsoft распространяет обновления Windows через свою операционную систему, а не через электронную почту.

Само письмо содержит только одну строку текста, которая гласит: «Пожалуйста, установите последнее критическое обновление от Microsoft, прилагаемое к этому письму». Хотя поддельное обновление имеет расширение ".jpg", на самом деле это не картинка, а исполняемый файл.

После нажатия на вложение письма, скрытый внутри исполняемый файл загружает файл с именем «bitcoingenerator.exe» из учетной записи GitHub с именем misterbtc2020. 

Как и в случае самого вложения, этот файл представляет собой скомпилированное вредоносное ПО, известное как Cyborg Ransomware.

Cyborg. шифрует пользовательские файлы (фотографии и видео) на компьютере жертвы. После того, как Cyborg выполнил свою миссию, он размещает на рабочем столе файл Cyborg_DECRYPT.txt, в котором предлагает оплатить $500 за расшифровку.

Исследователи также обнаружили учетную запись GitHub с именем Cyborg-Ransomware, которая содержала репозиторий с двоичными файлами компоновщика вымогателей, а также второй репозиторий со ссылкой на русскую версию того же компоновщика, размещенную на другом сайте.

Что делать, если Ваш компьютер заражен

Если в систему Вашего компьютера проник вирус, следует помнить о первом и самом главном правиле – никогда не платить выкуп. Ведь выплачивая выкуп киберпреступникам, Вы только лишь убеждаете их в том, что следующая атака против Вас или другого пользователя также будет успешной. Вы можете попытаться восстановить доступ к некоторым зашифрованным файлам с помощью бесплатных дешифраторов.

Однако здесь следует заметить: не для всех семейств программ-вымогателей написаны дешифраторы, поскольку во многих случаях программы-вымогатели используют сложные алгоритмы шифрования. Кроме того, даже если дешифратор и существует, не всегда можно достоверно определить, подходит ли он к той или иной версии вредоносного ПО. Вы ведь не хотите усугубить ситуацию и еще раз зашифровать свои файлы, воспользовавшись неверным скриптом дешифровки. Поэтому, прежде чем предпринимать какие-либо действия, Вам нужно тщательно изучить само сообщение, отображаемое программой-вымогателем, либо обратиться за помощью к специалисту по информационным технологиям или кибербезопасности.

Вы также можете противостоять вирусу, загрузив специальную программу для его нейтрализации, а затем запустив проверку на зараженном компьютере. Возможно, Вам не удастся вернуть доступ к файлам, однако так Вы сможете очистить компьютер от вируса. Для устранения программы-вымогателя, заблокировавшей экран, обычно достаточно выполнить полное восстановление системы. Если этот способ не сработает, Вы можете запустить проверку с загрузочного диска или USB-накопителя.

Если Вы хотите помешать работе программы-вымогателя, которая уже проникла на компьютер и может зашифровать Ваши файлы, Вам нужно действовать очень осторожно. Если Вы заметили, что система начала работать медленно без видимых причин, выключите компьютер и отсоедините его от сети Интернет. Если после повторного запуска системы вредоносное ПО все еще активно, оно не сможет отправить данные или получить инструкции с командного сервера. Это означает, что без ключа или заданного способа извлечения информации о платеже вредоносное ПО может все еще оставаться в режиме ожидания. Выиграв таким образом время, загрузите и установите на зараженный компьютер антивирусную программу, после чего запустите полную проверку системы.

Источник: techno.nv.ua