标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2024-1978]   作者: 对不起 发表于: [2018-09-26]

本文共 [531] 位读者顶过

趋势科技的安全专家发现了一种新的恶意软件,它被追踪为Virobot(RANSOM_VIBOROT.THIAHAH),同时兼具了勒索软件和僵尸网络功能,目前主要在美国肆虐。 [出自:jiwo.org]

一旦某台计算机遭到Virobot的感染,一些目标文件就会被加密,且受感染计算机还会成为垃圾电子邮件僵尸网络的一部分,然后将恶意软件副本分发给更多的受害者。

根据趋势科技的说法,Virobot最初是在9月17日在实际攻击活动中被发现,并且与其他已知的勒索软件家族均不存在任何关联。也就是说,它是一种全新的勒索软件。

当Virobot被下载到计算机之后,它将检查一些特定注册表项(计算机GUID和产品密钥)是否存在,以确定是否对该计算机上的文件进行加密。用于检查特定注册表项的代码如下:

如果注册表项存在,它将会利用加密随机数生成器生成加密密钥和解密密钥,然后通过POST将密钥与受感染计算机相关的数据一起发送到命令和控制(C&C)服务器。

然后,它将正式开始对文件进行加密。从Virobot用于实现加密功能的代码片段来看,它会对以下文件类型进行加密(采用RSA算法):.txt、.docx、.xlsx、.pptx、.jpg、.png、.csv、.sql、.mdb、.php、.asp、.xml、.psd、.odt和.html。

在完成加密之后,它将以两种形式显示赎金票据:带有勒索信息的计算机桌面背景和名为“README.ext”的文本文件。有意思的是,尽管Virobot目前主要针对的是美国计算机用户,但它的赎金票据却是采用法语编写的。

从趋势科技的分析报告来看,Virobot还兼具了键盘记录功能,能够收集受害者的击键数据,并上传到C&C服务器。另外,一旦连接到C&C服务器,它还可能会下载另一个恶意文件文件,并使用PowerShell执行它。

以上描述的都是Virobot的勒索软件功能,正如文章一开头所提到的那样,Virobot同时还兼具了僵尸网络功能。根据趋势科技的说法,Virobot能够利用受感染计算机上的Microsoft Outlook来实现垃圾电子邮件僵尸网络功能,并将其自身副本(或从C&C服务器下载的恶意文件)分发给受害者联系人列表中的其他人。

如上所述,勒索软件需要与其C&C服务器建立通信才能成功加密文件。趋势科技表示,在他们编写这份报告时,Virobot不再能够加密文件,因为它的C&C服务器已经被移除。

评论

暂无
发表评论
 返回顶部 
热度(531)
 关注微信