Noll
En nyupptäckt ransomware stam är en multi-tasking hot som förutom att kryptera filer, det kan också logga in och stjäla deras tangenttryckningar, och lägga den infekterade datorer till en spam-skicka botnät.
Denna nya ransomware heter Virobot och är en ny stam som har någon anknytning till tidigare ransomware familj träd, enligt it-säkerhetsföretaget Trend Micro, vars malware analytiker såg detta nya behandla denna vecka.
Men medan Virobot ransomware komponent tycks vara oberoende av alla andra ransomware stam, dess funktionssätt är inget nytt, och att följa samma förfaringssätt som i alla tidigare hot.
Också: Ransomware: En verkställande guide till en av de största hot på webben
Aktuell infektion vektor verkar vara skräppost e-post (även känd som malspam). När en användare luras att ladda ner och köra ransomware bifogas till e-post handlingar, ransomware fungerar genom att generera en slumpmässig nyckel för kryptering och dekryptering, som det skickar också en remote command and control (C&C) server.
Krypteringen bygger på RSA-kryptering, och Virobot kommer att rikta filer med följande filtillägg: TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG -, CSV -, SQL, MDB, SLN, PHP, ASP, ASPX -, HTML -, XML -, PSD, PDF, och SWP.
När denna operation är klar, Virobot visar en gisslan anteckning på användarens skärm, som den nedan. Detta meddelande är skrivet på franska, som Trend Micro forskarna fann märkligt eftersom kampanjen sprida ransomware hade också tydligt inriktade OSS användare.
Virobot lösen not
Bild:Trend Micro
Intressant, Virobot är inte bara ransomware med en French connection som dök upp under de senaste veckorna. I slutet av augusti, säkerhet forskare MalwareHunter märkt att en ransomware stam som heter PyLocky, skapad för att imitera den mer kända Locky ransomware, hade också varit mycket aktivt gentemot Frankrike.
CNET: Falska cryptocurrency app installeras ransomware på din dator
Men förutom dess ransomware komponent, Trend Micro säger att det också upptäckt två andra komponenter, en keylogger, och en botnet-modul.
Keylogger systemet var mycket förenklat, att logga alla lokala tangenttryckningar och skickar rådata till C&C-server.
Å andra sidan, botnät modul var mer kraftfull. I denna modul får också Virobot operatör för att ladda ner annan skadlig kod från den ransomware är C&C-server och köra det.
Ytterligare, denna modul skulle också fungera som ett spam-modul, med hjälp av lokalt installerade Outlook-app för att skicka skräppost till användarens kontaktlista. Trend Micro rapporterade att Virobot skulle använda denna modul för att sprida en kopia av sig själv som en del av en rudimentär mask-liknande funktion.
TechRepublic: Varför cryptomining är den nya ransomware, och företagen måste förbereda sig för det
Michael Gillespie, ägare av Ransomware, en tjänst för att skanna krypterade filer för att avgöra vilken typ av ransomware har infekterat en DATOR, berättade ZDNet i dag att det finns inget sätt att upptäcka Virobot infektioner via sin hemsida.
Detta är på grund av det faktum att den ransomware aktier gemensamma upptäckt indikatorer med andra stammar, såsom att lägga till den .enc file extension till krypterade filer, en förlängning används av många andra stammar.
Lyckligtvis, för sin franska skrivna gisslan anteckning är mer än tillräckligt för användare att gissa eller bestämma att de har smittats med Virobot.
För nu, enligt Trend Micro, hotet har varit tillfälligt lindras eftersom det i skrivande stund Virobot C&C-servern var nere, vilket innebär att den ransomware kommer inte att starta den här processen när infekterar nya offer.
Eftersom detta är en ny ransomware stam, detta är mest troligt på grund av tester som de flesta malware-distributörer utföra, och det förväntas att den ransomware är C&C-servrar kommer att så småningom komma tillbaka för en bredare distribution kampanjer i framtiden.
Virobot är inte heller första ransomware stam som kommer med en keylogger eller andra komponenter. Linjen mellan ransomware, bank trojaner, keyloggers, och andra kategorier malware har varit att få murkier under de senaste åren.
Till exempel, malware stammar som MysteryBot, LokiBot, Rakhni, eller XBash, har ofta kommit med multi-funktionella egenskaper, med en blandning av allt från ransomware att cryptominers i samma paket.
Kanske är det därför som vissa forskare nu ifrågasätter Trend Micro ‘ s beslut att kategorisera Virobot som ransomware istället av ett botnät. Med linjer blir suddig, att det blir svårt att säga vad som är vad längre.
Relaterade täckning:
Tusentals WordPress webbplatser backdoored med skadlig codeHackers passerkort siffror från kommunal betalning portalsAccess till över 3000 backdoored webbplatser som säljs på ryska hacka forumMirai botnet författare undvika fängelse efter “omfattande stöd” till FBI
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0