Zero
La scoperta di una nuova ransomware ceppo è un multi-tasking minaccia che, oltre a criptare i file degli utenti, può anche registrare e rubare le loro battute, e aggiungere i computer infetti per un invio dello spam botnet.
Questo nuovo ransomware è denominato Virobot ed è un nuovo ceppo che non ha legami con la precedente ransomware alberi di famiglia, secondo il cyber-società di sicurezza Trend Micro, i cui analisti di malware notato questo nuovo trattamento di questa settimana.
Ma mentre il Virobot ransomware componente sembra essere estraneo a qualsiasi altro ransomware ceppo, il suo funzionamento è nulla di nuovo, seguendo lo stesso modus operandi di tutte le precedenti minacce.
Anche: Ransomware: Un esecutivo a guida di una delle più grandi minacce sul web
L’attuale vettore d’infezione sembra essere spam messaggi di posta elettronica (noto anche come malspam). Una volta che un utente è indotto a scaricare ed eseguire il ransomware in allegato per e-mail i documenti, il ransomware opere di generazione casuale di cifratura e decifratura chiave, che invia anche una remota di comando e controllo (C&C) server.
Il processo di crittografia si basa su un sistema di crittografia RSA regime, e Virobot obiettivo di file con le seguenti estensioni: TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN, PHP, ASP, ASPX, HTML, XML, PSD, PDF, e SWP.
Una volta terminata questa operazione finiture, Virobot mostra una nota di riscatto sullo schermo dell’utente, come quella qui sotto. Questa nota è scritta in francese, che Trend Micro, i ricercatori hanno trovato strano perché la campagna di diffusione della ransomware era anche chiaramente mirata NOI utenti.
Virobot nota di riscatto
Immagine:Trend Micro
È interessante notare che, Virobot non è l’unico ransomware francese con una connessione che è apparso nelle scorse settimane. Alla fine di agosto, il ricercatore di sicurezza MalwareHunter notato che un ransomware nome del ceppo PyLocky, creato per imitare il più famoso Locky ransomware, era stato anche molto attivo nel targeting Francia.
CNET: Falso cryptocurrency installazione di applicazioni ransomware sul tuo computer
Ma oltre alla sua ransomware componente di Trend Micro si dice anche scoperto altri due componenti, un keylogger, e una botnet modulo.
Il keylogger sistema era molto semplice, la registrazione di tutti i locali di sequenze di tasti e l’invio dei dati grezzi per la C&C server.
D’altra parte, la botnet modulo era più potente. Questo modulo ha anche consentito il Virobot operatore di scaricare altri malware ransomware C&C server ed eseguire.
Inoltre, questo modulo anche il lavoro come spam modulo, utilizzando installato localmente applicazione di Outlook per l’invio di spam alla lista dei contatti dell’utente. Trend Micro ha riferito che Virobot utilizzare questo modulo per la diffusione di una copia di se stesso come parte di un rudimentale worm come caratteristica.
TechRepublic: Perché cryptomining è il nuovo ransomware, e le imprese devono prepararsi per esso
Michael Gillespie, il proprietario del Ransomware, un servizio per la scansione di file crittografati per determinare che tipo di ransomware ha infettato un computer, ha detto a ZDNet oggi che non c’è modo di rilevare Virobot infezioni attraverso il suo sito web.
Questo è dovuto al fatto che il ransomware azioni comuni di rilevazione di indicatori con altri ceppi, come per esempio aggiungere la .enc estensione del file per i file crittografati, un’estensione utilizzata da molti altri ceppi.
Per fortuna, il suo francese-scritto nota di riscatto è più che sufficiente per gli utenti di indovinare o di determinare che sono stati infettati con Virobot.
Per ora, secondo Trend Micro, la minaccia è stata temporaneamente attenuato, in quanto al momento di scrivere il Virobot C&C server era down, che significa il ransomware non si avvia il processo di crittografia quando infettare nuove vittime.
Poiché questo è un nuovo ransomware sforzo, questo è più probabile a causa di prove che la maggior parte dei distributori di malware svolgere, e ci si aspetta che il ransomware di C&C server, per poi ritornare per una più ampia distribuzione di campagne in futuro.
Virobot non è la prima ransomware ceppo che viene fornito con un keylogger o altri componenti. La linea tra ransomware, trojan bancari, keylogger e altri malware categorie è stato sempre murkier negli ultimi anni.
Ad esempio, il malware ceppi come MysteryBot, LokiBot, Rakhni, o XBash, sono spesso dotate di multi-funzionale, amalgamare tutto da ransomware per cryptominers nello stesso pacchetto.
Forse questo è il motivo per cui alcuni ricercatori stanno ora contestazione di Trend Micro decisione di classificare Virobot come ransomware, invece di una botnet. Con le linee di ottenere sfocata, è sempre difficile dire cosa è più.
Relativi copertura:
Migliaia di siti WordPress backdoored dannoso codeHackers passare il dito verso i numeri di carta dal governo locale di pagamento portalsAccess di oltre 3.000 backdoored siti venduto su hacking russo forumMirai botnet autori evitare il carcere dopo “consistenti” per l’FBI
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0