如果接到微软发送的电子邮件通知你下载最新Windows更新版,小心是钓鱼邮件。安全厂商TrustWave发现最近网络上流传伪装Windows更新的信件,一旦下载将感染勒索软件。攻击者甚至传播撰写勒索软件的开发工具。
这批网络钓鱼邮件标题写着“Install Latest Microsoft Windows Update now! Critical Microsoft Windows Update!”,要求收信人下载并执行最新版重要Windows更新。安全厂商发现,附件大小为28KB,随机选择一组字符串作为文件名,并为了躲避邮件网关的侦测而以.jpg为文件扩展名。不过它实际上是个可执行文件,内容是为恶意.NET下载器,打开执行后它还会从外部服务器下载名为Cyborg的勒索软件。分析其程序代码,显示黑客是将恶意程序托管在GitHub一个名为misterbtc2020账户下。
一旦打开,Cyborg会将受害计算机上的文件加密,并附上.777的文件扩展名。和一般勒索软件一样,Cyborg会在受害计算机的“桌面”目录下留下勒索消息及一则电子邮件信箱,要求用户汇款500比特币到所附的电子钱包地址。
不过和别的勒索软件不同的是,Cyborg作者不只是传播勒索软件为害,还传播撰写Cyborg的开发程序。研究人员循线发现GitHub另二个新建账号下包含名为Cyborg Builder Ransomware的可执行文件,让任何取得的人也能开发自己的Cyborg,也借此扩大这个勒索软件的感染范围。
安全公司已在本周通知GitHub此事,不过还在确认中。现在尚未看到此信件大规模传播,但由于不论Cyborg勒索软件和开发程序都还在GitHub平台上,因此研究人员相信可能会衍生出变种程序。