گروهی که به تازگی در فضای اینترنت شروع به فعالیت کرده اند مردم را فریب می دهند که باید سیستم عامل ویندوز خود را بروزرسانی کنند. سپس اقدام به نصب باج افزار برروی کامپیوتر قربانیان می کنند.

محققان SpiderLabs ایمیل های اسپمی کشف کرده اند که با عنوان جدیدترین بروز رسانی سیستم عامل مایکروسافت به قربانیان ارسال شده و از آنان می خواهد تا آپدیت های حیاتی مورد نیاز را دانلود و نصب نمایند. شرکت مایکروسافت به هیچ عنوان به روز رسانی های خود را از طریق ایمیل به کاربران ارسال نمی کند. این ایمیل شامل تنها یک جمله است با 2 حروف بزرگ در اول آن که این کار آن را بیش از پیش غیرواقعی می کند. از دریافت کنندگان تقاضا می شود تا برروی دکمه ی Update کلیک کنند. بعد از کلیک برروی این دکمه یک فایل با پسوند .jpg دانلود می شود که یک فایل اجرایی .Net برای دانلود سایر محتوای مورد نیاز برروی سیستم قربانی است.

با کلیک برروی این فایل یک فایل اجرایی دیگر دانلود می گردد. نام این فایل bitcoingenerator.exe از یک کاربر با نام misterbtc2020 در گیت هاب. این فایل جدید هم نیز یک فایل .Net همانند قبلی می باشد. فایل bitcoingenerator.exe، اقدام به رمزنگاری تمامی فایل های کاربر و تغییر پسوند آنان می گردد. این باج افزار همچنین یک نسخه از خود را در شاخه اصلی هر درایو با نام bot.exe قرار می دهد. قربانی یک فایل با نام Cyborg_DECRYPT.txt برروی دسکتاپ خود می تواند پیدا کند که مبلغ 500 دلار را برای باز کردن قفل فایل ها درخواست کرده است.
زمانی که محققان امنیتی ساختار این فایل را مورد بررسی قرار می دادند آن ها سه نمونه دیگر و یک Builder یافت کردند. حتی یک ویدیو YouTube شامل یک لینک به Builder برروی گیت هاب یافت گردید که دارای 2 مخزن (Repository) بود: یکی با فایل باینری Builder و دیگری با یک لینک به نسخه ی روسی این باج افزار.

منبع: Techspot