Hakerzy Wysyłanie Fałszywe Windows 10 uaktualnienia ransomware E-mail, szyfruje każdy plik

W ciągu tygodnia od oficjalnego wydania systemu Windows 10, hakerzy zaczęli wykorzystanie komputera użytkowników poprzez wysyłanie wiadomości e-mail szkodnika. Tym razem hakerzy znaleźli nowy sposób korzystania użytkowników. Wysyłają fałszywe e-maile do bezpłatnego uaktualnienia systemu Windows 10, ale gdy użytkownicy “open-mail, one się szkodnika wirusa. Ten paskudny wirus okupu natychmiast szyfrowania wszystkich plików dostępnych na zainfekowanym computrer.

Spakowany plik z wiadomości e-mail wysyłane wydaje się system Windows 10 kopią przez Microsoft, ale prawdziwe jest to paskudne ransomware wysłany przez potężnych hakerów.

System Windows 10 został oficjalnie otwarty 29 lipca jako bezpłatna aktualizacja dla każdego Windows 7 i Windows 8 użytkowników. Ponad 14 milionów użytkowników uaktualnieniu swoje systemy z powodzeniem do dzisiaj. Ale wciąż miliony klientów Microsot czekają, aby uaktualnić swój system Windows do najnowszej edycji wydaniu systemu Windows.

Firma Microsoft wydała nową aplikację o nazwie Pobierz system Windows 10, który informuje użytkownika, że ​​ich system jest w stanie uzyskać uaktualnienie systemu Windows 10. Jeśli pojawi się zielony sygnał na komputerze, to oznacza to, że system jest gotowy do uaktualnienia. Do tego czasu, aplikacja pokazuje prostą wiadomość, że czyta “Uważaj na swojej powiadomienia, tak aby można rozpocząć aktualizację. Twoje powiadomienie uaktualnić może przyjść tak szybko, jak kilka dni lub tygodni. “

Analitycy Cisco ostrzegł wszystkich zaniepokojonych klientów Windows, aby nie poddać się Windows 10 redesign sztuczkę, i sposób, w jaki klienci muszą muszą ruszać do ruchu w górę, aby były dostępne sprawia, że ​​są o wiele bardziej bezsilni wobec tej sztuczki.

Programiści widziałem ten podstawowy komunikat ostrzegawczy, jako szansę na klientów przygodowych dlaczego niespokojny remont ich aktualny system Windows do ostatniego zrzutu. Satyryzować wyzyskiwaczy są przenoszenia 10 e-mail o aktualizacji systemu Windows obok sprężonego połączenia, które kiedyś wykonywany będzie w konsekwencji wprowadzenia ransomware na skupiona na ram PC, w dłuższej perspektywie kodującego każdy z ewidencji, zdjęcia, raporty i inne istotne informacje, które istnieje na trudno dojeżdżać.

Badanie e-mail RansomWare

Grupa specjalistów zbadała maila i szydzili notuje cztery główne markery w wiadomości, które każdy klient musi muszą uważać.

1. Musisz szukać z adresu e-mail. Programiści umiejętnie drwić lokalizację e-mail nadawcy, aby to wydaje się, że jest on wysyłany przez Microsoft IE <update@microsoft.com>. To jest rzecz, która sprawia, że ​​koncentruje się na kolektorze do dalszego zapoznania się z e-mail. Jeszcze bardziej intensywne popatrzeć na segmencie nagłówka e-mail odkrywa prawdę, że e-mail jest uruchamiany z IP (Internet Protocol) lokalizacji dozowana do Tajlandii.

2. W celu dalszego farsą e-mail i przekonać kolektor ufać, że jest on wysyłany przez firmę Microsoft, programiści próbowali wszelkich starań, aby wykorzystanie porównawczej planu cieniowania użytkowane przez firmę Microsoft.

3. Najbardziej uderzające wskaźnik wysiłku. Specjaliści odkryli dwa lub trzy ostrzeżenia związane z wiadomości e-mail. Wiele znaków nie analizować dokładnie. Stało się to w świetle faktu, że programiści byli wykorzystaniem niestandardowych zestaw znaków podczas tworzenia wiadomości e-mail. Możesz zobaczyć te ostrzeżenia w obrazie dołączył poniżej.

4. Aby zwiększyć wiarygodność e-mail, programiści dołączyli wiadomość zastrzeżenie właśnie wyglądający jak ten wykorzystywanych przez Microsoft czyli “Komunikat ten został sprawdzony przez infekcje i substancji niebezpiecznych przez MailScanner, i akceptowana być doskonały.” Ponadto pułapkę koncentruje się na klientach w ufając, że połączenie nie jest złośliwe oprogramowanie, komunikat o zakończeniu dodatkowo podłączony do MailScanner, które jest prawdziwe miejsce filtracja open source e-mail.

Roboczych od Ransomware

Tak samo jak nas, trzeba się zastanawiać, że to, co może się zdarzyć, aby koncentrować się na klienta, który zaufał, co powiedział w tym e-mail, pobrać dokument w załączniku kompresji, usunięte i po tym wykonywane go.

Ofiarą zostaną zaproszeni z komunikatem, który będzie jak na załączonym zdjęciu:

Projekt jest wykorzystywany przez programistów jest CTB-Locker, który jest odmianą szkodnika. Analitycy dodatkowo zorientowali się, że są one ransomware przekazał skupiona na klientach przy zasadniczo wysokiej stopie.

Użyteczność tego szkodnika jest bardzo standardowe i uczynić wykorzystanie nieprzewidywalny strategii szyfrowania które pozwalają programistom zakodować każdy ostatni dokument, w którym nastąpił wypadek na komputerze, bez odkładania klucz dekodujący na skażonej PC.

Aby dodatkowo zabezpieczyć swój charakter i pozostać nieznane będąc na znikomym poziomie zagrożenia, programiści robią wykorzystanie przejrzysty dostępnych administracji jak Tor i Bitcoin. Wzdłuż tych linii znajdują się one w stanie szybko tworzyć dochód z tego szkodnika bitwy.

Na off szansa, że ​​ofiara musi otworzyć swoje rekordy, zdjęć i innych sprawozdań krytycznych, muszą muszą płacić płatności, aby uzyskać kod odszyfrować. Co więcej, bardzo, są one po prostu dać 96 godzin, aby zapłacić sumę wypłat.

Jednak PROWOKOWANIA CECHY CTB-LOCKER RansomWare

Specjaliści dodatkowo notuje pewne prowokacyjne elementy CTB-Locker, który jest przez wszystkich kont znaczne środki zróżnicowane, gdy skontrastowane z innych wariantów szkodnika.

Rodzaj szyfrowania: CTB-Locker wykorzystuje szyfrowanie zginania kołowego, który wykorzystuje przestrzeń kluczową Littler jeszcze daje taki sam poziom bezpieczeństwa i szyfrowania klucza, podczas gdy większa część szkodnika wykorzystuje systemy kodowania RSA.

Dekodowanie czasu przydziału: CTB-Locker oferuje skupiony na wypadek tylko 96 godzin od czasu, aby zapłacić za klucz odszyfrować, co jest znaczne środki krótszy niż standardowy szkodnika.

Korespondencja dowodzenia i kontroli: CTB-Locker wykorzystuje lokalizacji zakodowane IP założyć stowarzyszenie. Te lokalizacje IP znajdują się na niestandardowych portach. Potem znowu, prowadzony przez szkodnika młyna zastosowania targował witryn WordPress jako skośnej krawędzi dla danych.

Rozszerzone miarę handlu informacji między ramami: Naukowcy zepsuł aktywności systemu i zorientowali się, że informacja była rozlana dać lub wziąć 100 różnych adresów IP. Podczas gdy normalne porty wykorzystywane przez system do korespondencji były 1443, 9001, 666 i 443. Większa część portów używanych przez system są związane z ruchem Tor.