Ransomware Cyborg là phần mềm độc hại gây hại trực tiếp đến các hệ thống thông tin, dữ liệu quan trọng của doanh nghiệp mục tiêu. Một chiến dịch spam độc hại thông báo cho nạn nhân rằng trong tệp có chứa “bản cập nhật Windows quan trọng” thay vào đó dẫn đến việc cài đặt phần mềm độc hại Ransomware Cyborg.
Ransomware Cyborg là gì?
Ransomware Cyborg là phần mềm độc hại được phát hiện bởi GrujaRS . Phần mềm độc hại này được phân loại là ransomware và được thiết kế để mã hóa dữ liệu và yêu cầu thanh toán tiền chuộc cho các công cụ / phần mềm giải mã. Trong quá trình mã hóa, các tệp được đổi tên với phần mở rộng “.petra“.
Ví dụ: ” 1.jpg” trở thành “1.jpg.petra“, v.v. đối với tất cả các tệp bị xâm phạm. Một biến thể cập nhật của Ransomware Cyborg gắn thêm phần mở rộng “.lazareus“. Khi quá trình này hoàn tất, Ransomware Cyborg lưu trữ một tệp văn bản (“Cyborg_DECRYPT.txt“) trên màn hình nền và thay đổi hình nền.
Văn bản được trình bày trên hình nền máy tính để bàn thông báo cho người dùng rằng dữ liệu của họ đã được mã hóa bởi Ransomware Cyborg. Để tìm hiểu thêm, các nạn nhân được hướng dẫn đọc tệp “Cyborg_DECRYPT.txt”, có chứa thông báo đòi tiền chuộc. Thông báo khẳng định rằng các tệp được mã hóa có thể được khôi phục nếu một khoản tiền chuộc được trả.
Các tên tội phạm mạng buộc nạn nhân phải trả khoản thanh toán là 300 USD tương đương bằng tiền điện tử Bitcoin. Để đưa ra ‘bằng chứng’ về khả năng khôi phục dữ liệu, bọn tội phạm mạng đứng sau Ransomware Cyborg đề nghị giải mã miễn phí một tập tin. Ngoài ra còn có một địa chỉ email được cung cấp để liên hệ với họ. Hầu hết phần mềm độc hại trong phân loại này sử dụng mã hóa mạnh, thường không thể “bẻ khóa” bằng các chương trình miễn phí.
Việc xóa Ransomware Cyborg sẽ không khôi phục dữ liệu bị ảnh hưởng, tuy nhiên, nó sẽ ngăn ransomware này mã hóa thêm. Giải pháp duy nhất là khôi phục dữ liệu từ bản Backup, miễn là bản Backup đã được tạo trước khi bị lây nhiễm và được lưu trữ ở một vị trí khác.
Tất cả các chương trình độc hại thuộc loại này đều mã hóa dữ liệu và yêu cầu thanh toán tiền chuộc để giải mã. Thuật toán mật mã mà họ sử dụng (đối xứng hoặc bất đối xứng) và kích thước tiền chuộc thường khác nhau ở mỗi lần lây nhiễm.
Các tổng này nằm trong khoảng từ ba chữ số đến bốn chữ số. Trong hầu hết các trường hợp, tội phạm mạng yêu cầu các khoản thanh toán được thực hiện bằng tiền kỹ thuật số (ví dụ: tiền điện tử, chứng từ trả trước, v.v.), vì các giao dịch này không thể theo dõi.
Việc giải mã thủ công (không có sự tham gia của các cá nhân đứng sau mã hóa) thường là không thể, trừ khi Ransomware vẫn đang trong quá trình phát triển hoặc có một số lỗ hổng hoặc lỗi nhất định. Bạn nên lưu trữ các bản sao lưu trên các máy chủ từ xa hoặc các thiết bị lưu trữ đã rút phích cắm để đảm bảo an toàn cho dữ liệu. Tốt hơn là duy trì nhiều bản sao lưu được lưu trữ riêng biệt.
Ransomware Cyborg ngụy trang cập nhật Windows mới nhất
Các nhà nghiên cứu đã phát hiện ra một chiến dịch thư rác độc hại thông báo cho nạn nhân rằng nó chứa “bản cập nhật Windows quan trọng” dẫn đến việc các dữ liệu bị xâm nhập và mã hóa bởi Ransomware Cyborg. Hơn nữa, biến thể mới của Ransomware Cyborg có thể được tạo ra từ việc truy cập trình tạo của các “bản cập nhật Windows quan trọng” này.
Một khía cạnh độc đáo khác là email giả mạo được viết với chủ đề hai câu, “Cài đặt Microsoft Windows Update mới nhất ngay bây giờ! Các nhà nghiên cứu cho biết Microsoft Windows Update quan trọng!”. Vì thông thường, các email độc hại bao gồm một thông điệp dài hơn, được thiết kế theo phương thức xã hội nhằm thu hút nạn nhân nhấp vào các tệp độc hại.
Phần đính kèm
Phần đính kèm cập nhật giả mạo, mặc dù có phần mở rộng tệp “.jpg”, là một tệp thực thi. Tên tệp của nó được ngẫu nhiên hóa và kích thước tệp của nó là khoảng 28KB. Tệp thực thi này là một trình tải xuống .NET độc hại sẽ cung cấp một phần mềm độc hại khác đến hệ thống bị nhiễm.
Phần đính kèm “.jpg” cung cấp các manh mối chính cho các hành vi của tệp thực thi. Một trong những điều đáng chú ý là bản cập nhật Microsoft giả mạo sẽ tải xuống một tệp thực thi khác từ Github, một nền tảng phát triển phần mềm.
Cyborg Ransomware
Tệp bitcoingenerator.exe sẽ được tải xuống từ misterbtc2020, một tài khoản Github đã hoạt động trong vài ngày trong quá trình điều tra của các nhà nghiên cứu nhưng hiện đã bị xóa. Nó được chứa trong kho lưu trữ btcgenerator. Cũng giống như tệp đính kèm, đây là phần mềm độc hại được biên dịch .NET của Ransomware Cyborg. Khi tệp bitcoingenerator.exe của Ransomware Cyborg tấn công sẽ mã hóa các tệp của người dùng bị nhiễm và thêm vào tên tệp của họ phần mở rộng độc hại.
Sau đó, một ghi chú đòi tiền chuộc “Cyborg_DECRYPT.txt” sẽ được để lại trên Màn hình nền của máy bị xâm phạm. Thông tin được cung cấp trong tệp txt này có thể được tìm thấy trên lớp phủ của bitcoingenerator.exe của Ransomware Cyborg.
Trình tạo Ransomware Cyborg
Để thu thập thêm các biến thể của Ransomware Cyborg này, các nhà nghiên cứu đã tìm kiếm “syborg1finf.exe” – tên tệp gốc của Ransomware tìm kiếm được trong VirusTotal (VT).
Phần mở rộng tệp các mẫu Ransomware Cyborg này sẽ nối vào các tệp được mã hóa khác nhau theo quan sát từ các mẫu được tìm thấy trên VT. Đây là dấu hiệu cho thấy có kẻ xây dựng cho Ransomware Cyborg.
Tài khoản Github cho Ransomware Cyborg cũng mới được tạo ra tại hai kho: Cyborg-Builder Ransomware và Cyborg-nga version. Kho lưu trữ đầu tiên có các tệp nhị phân của trình tạo Ransomware Cyborg trong khi kho thứ hai chứa liên kết đến phiên bản tiếng Nga của trình tạo nói trên được lưu trữ tại một trang web khác.
Tệp 7Zip “Cyborg Builder Ransomware V1.0.7z” từ kho lưu trữ Cyborg-Builder Ransomware đã được tải lên vào năm 2019, khi tài khoản Github misterbtc2020 lưu trữ thực thi Ransomware Cyborg. Tệp 7Zip chứa trình tạo Ransomware “Cyborg Builder Ransomware V 1.0.exe”. Các nhà nghiên cứu đã so sánh mẫu được tạo từ trình tạo (Ransom.exe) với những gì có trong thư rác “Cập nhật Windows giả mạo” và nhận thấy các mẫu đều tương tự nhau! Chỉ có lớp phủ khác và được nhập bởi người dùng của trình tạo.
