Sigurnosni
istraživači iz kompanije Truswave su
otkrili kampanju
Windows ažuriranja koja se širi preko
elektronske pošte. Elektronska pošta je oblikovana kao da dolazi
od strane kompanije Microsoft i
usmjerava potencijalnu žrtvu na prilog elektronske pošte koji je opisan kao
“veoma važno sistemsko ažuriranje”.
Prilog
elektronske pošte ima ekstenziju “.jpg”,
ali je ustvari izvršni fajl veličine 28KB koji preuzima ransomware Cyborg. Za otključavanje enkriptovanih dokumenta traži
se $500 u Bitcoin valuti. Istraživači
su uspjeli da približno odrede početak kampanje koja traje od 07. novembra i ne
prije 03. novembra.
Napadač
nije bio baš vješt u prikrivanju tragova, pa su istraživači uspeli da na
hosting servisu GitHub pronađu alat
za pravljenje pod nazivom “Cyborg Builder
Ransomware V 1.0.exe”. Hosting servis
GitHub je obaviješten da je
neko na njihovim serverima smjestio zlonamjeran sadržaj i korisnički nalog
ugašen. Problem je u tome što svako ko je uspio preuzeti “Cyborg Builder Ransomware V 1.0.exe” alat, može napraviti svoju
verziju ovog ransomware-a. Nakon toga
može promijeniti vektor napada na korisnika i mnogo vještije maskirati
preuzimanje ransomware-a.
KAKO SE
ZAŠTITI:
1. Uvijek
biti oprezan sa dokumentima u prilogu elektronske pošte od nepoznatih
pošiljalaca. Ako je elektronska pošta od poznatog pošiljaoca, a dokument nije
očekivan kontaktirati pošiljaoca i provjeriti da li je on poslao dokument ili
je njegova adresa elektronske pošte možda kompromitovana.
2. Koristiti
provjereno Anti-virusno rješenje sa mogućnošću detekcije na osnovu ponašanja za
efikasnu zaštitu od poznatih i nepoznatih prijetnji.
3.
Edukacija zaposlenih o načinima napada.
4. Uvijek
preuzimati softver sa zvanične stranice proizvođača ili preko zvaničnog kanala
distribucije.
INFEKCIJA
UREĐAJA:
Ukoliko
utvrdite ili sumnjate da vam je uređaj zaražen, isključite ga sa mreže (sa
kabla ili WiFi-a) i respektivno
ugasite uređaj. Nakon toga kontaktirajte servis i informišite se o narednom
koraku.