Pažnja! Lažno ažuriranje Windows-a instalira ransomware na kompjutere!


Hakeri su počeli da koriste novu tehniku za napade na računare korisnika. Nedavno su započeli kampanju, u kojoj se predstavljaju kao Microsoft i zahtevaju od korisnika da instalira Windows update, koji je u stvari ransomware softver.


Izvor: TechSpot, PC Press

Foto: GettyImages / Drew Angerer

Foto: GettyImages / Drew Angerer

Istraživači iz Trustwave SpiderLabs-a, otkrili su spam poruke koje imaju dramatične naslove kao što su „Odmah instalirajte Microsoft Windows Update!“ ili „Kritični Microsoft Windows Update!“, čiji je cilj da „navuku“ korisnike da kliknu na linkove „update-a“ unutar imejla.

U porukama se nalazi samo jedna rečenica, a interesantno je da su prva dva slova napisana velikim slovima. Tako „nepismen“ mejl teško da bi poslao Microsoft, a da ne ulazimo u to da ažuriranje nikada ne bi zahtevao preko imejla, s obzirom na to da ima mnogo direktnije načine da korisnike „natera“ da nadograde operativni sistem.

U pomenutim porukama, od korisnika se traži da klikne na prilog u poruci kako bi preuzeo „update“. Iako je taj fajl prividno ima .JPG ekstenziju, u stvari je izvršni .NET downloader, koji će umesto update-a instalirati ransomware na računar i zaraziti sistem.

Klikom na taj fajl, preuzeće se novi izvršni fajl (bitcoingenerator.exe) sa Github naloga misterbtc2020 (već je uklonjen sa sistema), koji je u stvari .NET kompajlirani Cyborg ransomware, piše TechSpot.

Foto: PrintScreen / TechSpot

Foto: PrintScreen / TechSpot

Kao i svi ostali programi tog tipa i bitcoingenerator.exe kriptuje podatke na hard disku i menja im ekstenziju u .777.

Takođe, pravi i kopiju sebe pod imenom bot.exe, koji se krije u root-u inficiranog drajva. Na desktopu kriptovanog računara pojaviće se fajl „Cybor_DECRYPT.txt“ u okviru kojeg stoji zahtev za otkupom podataka, a za to korisnik mora da plati 500 dolara.

Kada su istraživači detaljnije pogledali ransomware, pronašli su tri slična primera, kao i builder za ransomware softver, prenosi PC Press.

Otkrili su i YouTube video koji pokazuje linkove ka builder-u na Github-u sa dva repozitorija – ka binarnom ransomware builder-u, u engleskoj i ruskoj verziji.





Izvor:B92