Aktualizacje Windows od dawna są przedmiotem dyskusji wśród wielu użytkowników. Nic więc dziwnego, że cyberprzestępcy skrzętnie wykorzystują to do zainfekowania komputerów firmowych oraz domowych. Nowe zagrożenie z ich strony pojawiło się w załączniku do maila wysłanego do użytkowników tego systemu. Plik po uruchomieniu szyfruje zawartość dysku na komputerze, a także prowadzi do serwera, na którym znajdują się pliki ransomware.
Jak działa mailowy ransomware Cyborg?
Złośliwa kampania mailowa, która informuje użytkowników systemów Windows o „krytycznej aktualizacji” i zawiera w sobie pliki szyfrujące komputer, pojawiła się w ostatnich tygodniach. Zagrożenie zostało wykryte przez badaczy z firmy Trustwave, którzy zauważyli kilka niestandardowych rozwiązań zastosowanych w ransomware. Pierwszą rzeczą jest to, że w mailu zamieszczony jest plik o rozszerzeniu .jpg, lecz po jego otworzeniu uruchomiony zostaje wykonywalny plik .exe.
Fałszywy mail jest także podejrzanie krótki – zawiera dwa zdania w temacie i tylko jedno w swojej treści. Temat , który brzmi: „Zainstaluj najnowszą aktualizację Windows już teraz! Krytyczna aktualizacja Microsoft Windows!”, powinien znacznie ułatwić identyfikację zagrożenia. Najbardziej niezwykłą rzeczą jest jednak ślad pozostawiony przez twórców ransomware. W pliku znajduje się link prowadzący do repozytorium Github, z którego każdy może pobrać kod źródłowy złośliwego oprogramowania. Oznacza to, że każdy może stworzyć swoją własną wersje ransomware Cyborg i rozprzestrzeniać go na kolejne urządzenia.
Badacze ostrzegają, że pomimo zmniejszającej się skali wysyłki wiadomości email nie musi to oznaczać końca zagrożenia ransomware Cyborg. Zgłosili także złośliwe repozytorium do administratorów strony Github, z której wkrótce powinno zostać usunięte.
Jak ochronić się przed wirusami w mailu?
Eksperci z Trustwave w swoim raporcie informowali, że zagrożenie było dosyć łatwe w wykryciu, ponieważ zawierało cechy wykorzystywane w złośliwych mailach. Krótkie, napisane niespójnym z komunikacją firmy językiem i wzywające do akcji wiadomości najczęściej zawierają zagrożenia lub próbują wyłudzić informacje. Pobieranie plików czy klikanie w linki wewnątrz takich maili jest stanowczo odradzane.
Nie wszystkie wiadomości jednak tak łatwo wykryć. Znaczna część złośliwych maili tworzona jest w taki sposób, by podstępem wzbudzić zaufanie użytkowników tj. wiadomość o przesyłce kurierskiej czy konieczność zmiany hasła do konta bankowego. Takie ataki wykorzystują często metody na pograniczu socjotechniki – odwołujące się do naszych codziennych doświadczeń (zamawianie przesyłek przez Internet) czy poczucia bezpieczeństwa (częste zmiany haseł są rekomendowane przez ekspertów).
Zachowaj czujność, sprawdzaj adres URL pod którym rzekomo musisz zmienić hasło do dowolnego konta i przede wszystkim stosuj na firmowych komputerach oraz innych urządzeniach rekomendowany antywirus.