Nul
En nyligt opdaget ransomware stamme er en multi-tasking trussel, der udover kryptering af brugernes filer, kan det også logge og stjæle deres tastetryk, og tilføj de inficerede computere til en spam-afsendelse botnet.
Denne nye ransomware er opkaldt Virobot og er en ny stamme, der har ingen tilknytning til tidligere ransomware familie træer, i henhold til cyber-sikkerhed firma Trend Micro, hvis malware analytikere opdagede denne nye behandle i denne uge.
Men mens Virobot ransomware komponent ser ud til at være relateret til andre ransomware stamme, dens virkemåde er ikke noget nyt, efter samme modus operandi af alle tidligere trusler.
Også: Ransomware: executive-guide til en af de største trusler på nettet
Den aktuelle infektion vektor ser ud til at være spam e-mails (også kendt som malspam). Når en bruger bliver narret til at downloade og køre ransomware er knyttet til e-mail-dokumenter, ransomware virker ved at generere en tilfældig kryptering og dekryptering nøgle, som sender den også til en ekstern kommando og kontrol (C&C) server.
Kryptering proces, der bygger på RSA-kryptering ordning, og Virobot vil målrette filer med følgende filtypenavne: TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG -, PNG -, CSV -, SQL, MDB, SLN, PHP, ASP, ASPX, HTML -, XML -, PSD, PDF, og SWP.
Når denne operation er færdig, Virobot viser en løsesum opmærksom på brugerens skærm, som vist nedenfor. Denne note er skrevet på fransk, som Trend Micro forskere fundet ulige, fordi den kampagne, spredning af ransomware havde også klart målrettet brugere i USA.
Virobot løsesum bemærk
Billede:Trend Micro
Det er interessant, Virobot er ikke den eneste ransomware med en fransk forbindelse, der dukkede op i de sidste par uger. I slutningen af August, sikkerhedsekspert MalwareHunter bemærket, at en ransomware stamme, opkaldt PyLocky, skabt til at efterligne den langt mere berømte Locky ransomware, havde også været meget aktiv i det der er målrettet mod Frankrig.
CNET: Falske cryptocurrency app installerer ransomware på din computer
Men ud over sin ransomware komponent, Trend Micro siger, at det også opdaget to andre komponenter, der er en keylogger, og et botnet modul.
Keylogger system var meget simpelt, logning af alle lokale tastetryk og sende de rå data til C&C server.
På den anden side, botnet-modul var mere kraftfuld. Dette modul også tilladt Virobot operatør for at downloade anden malware fra ransomware C&C server og udføre den.
Yderligere, vil dette modul vil også virke som en spam-modul, ved hjælp af den lokalt installerede Outlook app til at sende spam til brugerens liste over kontaktpersoner. Trend Micro rapporterede, at Virobot ville bruge dette modul til at sprede en kopi af sig selv som en del af en rudimentær orm-lignende funktion.
TechRepublic: Hvorfor cryptomining er den nye ransomware, og virksomheder skal forberede sig til det
Michael Gillespie, ejeren af Ransomware, en service for scanning af krypterede filer til at afgøre, hvilken type af ransomware har inficeret en PC, fortalte ZDNet i dag, at der er ingen måde at opdage Virobot infektioner via hans hjemmeside.
Dette er på grund af det faktum, at ransomware aktier fælles registrering indikatorer med andre stammer, som at tilføje .enc file extension til krypterede filer, en udvidelse, der anvendes af mange andre stammer.
Heldigvis, sin fransk-skriftlig løsesum noten er mere end nok for brugerne at gætte eller bestemme, at de er blevet inficeret med Virobot.
For nu, ifølge Trend Micro, truslen er blevet midlertidigt mindskes, fordi der på tidspunktet for at skrive Virobot C&C-server var nede, hvilket betyder, at ransomware vil ikke starte krypteringen når at inficere nye ofre.
Da dette er en ny ransomware stamme, det er mest sandsynligt på grund af test, at de fleste malware distributører udføre, og det forventes, at ransomware C&C-servere i sidste ende vil komme tilbage for bredere distribution kampagner i fremtiden.
Virobot er heller ikke den første ransomware stamme, der kommer med en keylogger eller andre komponenter. Linjen mellem ransomware, banking trojanske heste, keyloggers og andre malware kategorier har været at få murkier i de seneste år.
For eksempel, malware stammer som MysteryBot, LokiBot, Rakhni, eller XBash, har ofte kommer med multi-funktionelle egenskaber, der blander alt fra ransomware at cryptominers i samme pakke.
Måske det er grunden til, at nogle forskere er nu bestrider, at Trend Micro ‘ s beslutning om at kategorisere Virobot som ransomware i stedet af et botnet. Med de linjer, der bliver uklart, det bliver svært at fortælle, hvad er det længere.
Relaterede dækning:
Tusindvis af WordPress sites, backdoored med ondsindede codeHackers stryg-kort-numre fra lokale myndigheder betaling portalsAccess til over 3.000 backdoored websteder, der sælges på russisk hacking forumMirai botnet forfattere undgå fængslet, efter at den “omfattende assistance” til FBI
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0