Nul
Een nieuw ontdekte ransomware stam is een multi-tasking dreiging die naast het versleutelen van gebruikers bestanden, het kan ook inloggen en stelen van hun toetsaanslagen, en voeg de geïnfecteerde computers aan een spam versturen van een botnet.
Deze nieuwe ransomware is de naam Virobot en is een nieuwe stam die heeft geen banden met de vorige ransomware stambomen, volgens cyber-beveiligingsbedrijf Trend Micro, waarvan de malware-analisten gespot deze nieuwe behandeling van deze week.
Maar terwijl de Virobot ransomware onderdeel lijkt te zijn niet verbonden aan enige andere ransomware stam, de modus van de operatie is niets nieuws, het volgen van dezelfde modus operandi van alle eerdere bedreigingen.
Ook: Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
De huidige infectie vector wordt weergegeven om spam e-mails (ook bekend als malspam). Zodra een gebruiker wordt misleid in het downloaden en uitvoeren van de ransomware gekoppeld aan e-documenten, de ransomware werkt door het genereren van een random encryptie en decryptie-sleutel, die het stuurt ook aan op een extern command and control (C&C) server.
De codering is gebaseerd op de RSA-encryptie schema, en Virobot zal target-bestanden met de volgende extensies: TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT -, JPG -, PNG -, CSV, SQL, MDB, SLN, PHP, ASP, ASPX, HTML -, XML -, PSD, PDF, en SWP.
Zodra deze handeling is voltooid, Virobot toont een rantsoen opmerking op het scherm van de gebruiker, zoals hieronder. Deze nota is geschreven in het frans, wat Trend Micro vonden de onderzoekers vreemd, want de campagne is het verspreiden van de ransomware had ook duidelijk de beoogde gebruikers in de verenigde staten.
Virobot losgeld opmerking
Afbeelding:Trend Micro
Interessant is dat Virobot is niet de enige ransomware met een French connection, dat verschenen is in de afgelopen paar weken. Op het einde van augustus, security-onderzoeker MalwareHunter gemerkt dat een ransomware stam met de naam PyLocky, gemaakt voor het imiteren van de veel meer bekende Locky ransomware, was ook zeer actief in de targeting van Frankrijk.
CNET: Nep cryptocurrency app installeert ransomware op uw computer
Maar naast de ransomware component, Trend Micro zegt ook ontdekte twee andere componenten, een keylogger, en een botnet module.
De keylogger systeem was erg simpel, het registreren van alle lokale intoetsen en verzenden van de ruwe data op de C&C-server.
Aan de andere kant, het botnet module werd krachtiger. Deze module ook toegestaan de Virobot operator om andere malware te downloaden van de ransomware ‘ s C&C-server en voer het uit.
Verder is deze module ook zou werken als een spam module, met behulp van de lokaal geïnstalleerde Outlook app om spam te sturen naar de gebruiker de lijst met contactpersonen. Trend Micro gemeld dat Virobot voor het gebruik van deze module op het verspreiden van een kopie van zichzelf als een onderdeel van een rudimentaire worm-achtige functie.
TechRepublic: Waarom cryptomining is de nieuwe ransomware, en moeten bedrijven zich voor te bereiden op het
Michael Gillespie, de eigenaar van de Ransomware, een dienst voor het scannen van gecodeerde bestanden om te bepalen welke vorm van ransomware besmet is met een PC, vertelde ZDNet vandaag dat er geen manier voor het opsporen van Virobot infecties via zijn website.
Dit is te wijten aan het feit dat de ransomware aandelen common detectie indicatoren met andere stammen, zoals het toevoegen .enc file extension voor versleutelde bestanden een extensie die wordt gebruikt door vele andere soorten.
Gelukkig zijn frans geschreven losgeld opmerking is meer dan genoeg voor de gebruikers te raden of te bepalen dat ze zijn besmet met Virobot.
Voor nu, volgens Trend Micro, de dreiging is tijdelijk beperkt omdat op het moment van het schrijven van de Virobot C&C-server was down, wat betekent dat de ransomware zal niet het versleutelingsproces start bij het infecteren van nieuwe slachtoffers.
Aangezien dit is een nieuwe ransomware stam, dit is het meest waarschijnlijk, omdat van tests die de meeste malware distributeurs uit te voeren, en het is te verwachten dat de ransomware ‘ s C&C servers zal uiteindelijk terug te komen voor een bredere distributie campagnes in de toekomst.
Virobot is ook niet de eerste ransomware spanning die wordt geleverd met een keylogger of andere onderdelen. De lijn tussen ransomware, banking trojans, keyloggers en andere malware categorieën is steeds troebeler in de afgelopen jaren.
Bijvoorbeeld, malware stammen, zoals de MysteryBot, LokiBot, Rakhni, of XBash, komen vaak met de multi-functies die, het mengen van alles, van ransomware om cryptominers in hetzelfde pakket.
Misschien is dat de reden waarom sommige onderzoekers zijn nu betwisting van Trend Micro ‘ s beslissing om te categoriseren Virobot als ransomware in plaats van een botnet. Met de lijnen wazig, het is moeilijk te zeggen wat wat meer.
Verwante dekking:
Duizenden WordPress sites backdoored met kwaadaardige codeHackers swipe card nummers van de lokale overheid betaling portalsAccess tot meer dan 3.000 backdoored sites verkocht aan de russische hacken forumMirai botnet auteurs vermijden gevangenis na “substantiële bijstand” van de FBI
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0