注意：偽のWindows UpdateメールでCyborg Ransomwareがインストールされる

2019年11月、新しいスパムメールキャンペーンが開始され、 サイボーグランサムウェアの脅威を押し上げました。この偽の電子メールは、Microsoftから発信されたと主張し、Windowsの最新の更新プログラムをインストールするよう被害者に促しています。

スパムメールの件名は「重要なMicrosoft Windows Update！」です。テキストの本文には、「このメールに添付されているマイクロソフトの最新の重要な更新プログラムをインストールしてください」と記載されています。句読点が不適切であり、電子メールが更新ファイルを添付ファイルとして運ぶと主張しているという事実は、何かが間違っていることをユーザーに警告するための最初の赤い旗であるはずです。添付ファイル自体は、実際のパッチファイルから予想される実行可能ファイルまたは.msiインストーラーではなく、偽の.jpgファイルです。

悪意のある.jpgの名前はすべてのスパムメールでランダム化され、サイズは通常28kbです。このファイルはイメージではなく、Cyborgランサムウェアペイロードを被害者のシステムに配信する偽装.NET実行可能ファイルです。悪意のある.jpgファイルをテキストエディタで開くと、「bitcoingenerator.exe」という名前のファイルをホストしているGitHub URLへのリンクを含む#Stringsという名前のセクションがあることがわかります。このファイルは、「misterbtc2020」という名前のアカウントからダウンロードされます。TrustWaveのセキュリティ専門家が調査したため、現在は無効になっており、削除されています。 「bitcoingenerator.exe」の実際の内容は、サイボーグランサムウェアの根幹です。

実行されると、 ランサムウェアは被害者のファイルを暗号化し、スクランブルされた各ファイルの後に「.777」拡張子を付加します。影響を受けるファイルの種類には、プレーンテキストドキュメントからデータベース、メディアファイル、MS Officeドキュメント、アーカイブ、PDFに及ぶ膨大な数の拡張子が含まれます。身代金メモは「Cyborg_DECRYPT.txt」という名前のファイルで配信され、次のテキストが含まれています。

すべてのファイルはサイボーグランサムウェアによって暗号化されています

心配しないで、すべてのファイルを返すことができます！

ドキュメント、写真、データベースなどの重要なファイルはすべて暗号化されます

私たちはあなたにどんな保証をしますか？

暗号化されたファイルの1つを送信すると、無料で暗号化解除されます。

ファイルを復号化するには、次の手順を実行する必要があります。

1）500ドルのビットコインをウォレットに送信する[ビットコインウォレット文字列]

2）私たちのメールに書いてください：marceldeneud at yandex dot com

あなたの個人ID：[英数字文字列]

ランサムウェアは、一致するすべての拡張ファイルを暗号化した後、システムドライブのルートフォルダーに「bot.exe」という名前の実行可能ファイルのコピーもドロップします。

セキュリティ研究者は、異なる拡張子が使用されたサイボーグランサムウェア感染の複数のインスタンスを発見しました。これは、ランサムウェアのビルダーツールが存在している必要があることを意味します。