RANSOMWARE CYBORG: Si recibes un correo con actualizaciones de Windows no lo abras, es un virus.

Publicado el 21 noviembre 2019 ¬ 11:52 amh.mscComentarios desactivados en RANSOMWARE CYBORG: Si recibes un correo con actualizaciones de Windows no lo abras, es un virus.

MICROSOFT NUNCA ENVIA ACTUALIZACIONES POR CORREO ELECTRONICO !!!

Usuarios están recibiendo un correo con actualizaciones de Windows supuestamente urgentes. Ten cuidado, no son actualizaciones sino un virus ransomware.

¿Has recibido un correo con actualizaciones de Windows 10 supuestamente urgentes? Entonces tenemos una noticia para ti: no abras el correo y bórralo de inmediato. Es más que probable que forme parte de una campaña que usa software malicioso para infectar ordenadores con un virus ransomware.

Concretamente, este virus se llama Cyborg y es un ransomware similar al que sufrieron empresas españolas como La Ser. Esta campaña se basa en correos electrónicos hablando de una actualización de Windows urgente. Dichos correos están siendo enviados en pleno proceso de actualización a la Windows 10 November Update, liberada hará pocas semanas.

Esta vez han sido los inspectores de seguridad de SpiderLabs de Trustwave los que han descubierto este hecho. Si has recibido este correo o uno similar, te encomendamos a que lo borres de inmediato y no descargues nada de él.

El correo con actualizaciones de Windows urgentes que infectará tu ordenador

El correo electrónico enviado tiene como asunto “¡Instala la última actualización de Microsoft Windows ahora!”. Hay variantes que cambian un par de palabras, quedando como “Actualización crítica de Windows”. Esto de por sí debería ser un indicativo sospechoso, ya que Windows nunca envía actualizaciones por correo electrónico. Sí lo hace a través de Windows Update, su plataforma de actualizaciones integrada en el mismo sistema.

Por si esto fuera poco sospechoso, el contenido del correo hace saltar todas las alarmas. Solo hay una línea: “Instale la última actualización crítica de Microsoft adjunta a este correo electrónico”. El archivo adjunto tiene una extensión .jpg, pero no es una imagen sino un archivo ejecutable (además, las actualizaciones no funcionan a través de jpgs).

Pero, ¿qué ocurre si descargamos el ejecutable? El archivo abre una descarga de software malicioso de .NET que infecta el PC con ransomware. El ransomware es un tipo de virus que se caracteriza por “secuestrar” nuestros archivos a cambio de dinero, usualmente en forma de criptomoneda con la amenaza de que los borrará todos. Esta variante, Cyborg, es especialmente peligrosa por su naturaleza.

El ejecutable oculto en el mail descarga un archivo llamado “bitcoingenerator.exe” de una cuenta de GitHub con el nombre misterbtc2020. Al igual que el archivo adjunto, este es un malware compilado .NET: Cyborg. Cyborg, una vez llega al sistema, cifra todos los archivos de este añadiendo su propia extensión a los archivos, 777. Así, quedarán bloqueados ante el uso de programas.

Una vez infectado el sistema el ransomware deja un archivo de texto “Cyborg_DECRYPT.txt” en el escritorio. Este detalla los pasos a seguir para pagar el rescate, aunque no valdrá de nada. Cyborg dejará una copia de sí mismo llamado “bot.exe” oculta en la raíz de la unidad infectada. Por lo tanto, incluso si pagamos volveremos a sufrir un bloqueo de ransomware.

En plena investigación los investigadores de Trustwave buscaron el nombre de archivo original del ransomware que obtuvieron y realizaron una búsqueda en VirusTotal. Descubrieron que existía un generador en línea de este ransomware y de otras 3 muestras de este. También encontraron una cuenta en GitHub que contenía un repositorio con los binarios del generador de ransomware, así como un segundo repositorio con un enlace a la versión rusa del mismo generador alojado en otro sitio web.

Si recibes un correo de esta índole, los pasos a seguir son simples: no abras el correo ni pinches en ningún enlace de este. Borra el correo electrónico de inmediato y revisa que no haya descargado nada en el sistema. Te recomendamos pasar el antivirus al sistema en caso de que notes algo.

Además, si has sufrido un ataque de ransomware, es importante que no cedas y evites pagar el rescate, ya que además de fomentar estas prácticas no servirá de nada. Recordemos: Cyborg crea una copia de sí mismo en el sistema, por lo que aunque pagaras es muy probable que sufrieras otro ataque !

 

Ver información original al respecto en Fuente>

 

NOTA COMPLEMENTARIA:

Los investigadores de seguridad que han descubierto este nuevo ransomware han encontrado en GitHub varios repositorios relacionados con él. En uno de ellos han encontrado un sencillo compilador que permite a cualquiera crear sus propias instancias del ransomware, introduciendo automáticamente la cuenta de Bitcoin, el email asociado, la extensión que queremos dar a los archivos y el dinero del pago.

Info sobre posibles variantes de cyborg, cambiando la cuenta de pago de BitCoins, la extension de los cifrados, y el rescate a pagar…

Info al respecto en>

saludos

ms, 21-11-2019

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Virus,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies