2018年9月24日
研究人员发现了新的Virobot Ransomware,它与僵尸网络未来一起分发,主要关注基于美国的受害者。
攻击者使用垃圾邮件僵尸网络将勒索软件传递给更多的受害者,而这些勒索软件没有以前的勒索软件家族。
网络犯罪分子总是通过开发复杂的威胁来寻找新的创新技术来危害受害者。
最初,Virobot Ransomware在2017年观察到,它最初是勒索软件收集,机器GUID,机器名称,用户名。
Virobot Ransomware感染过程
一旦目标受害者感染了Virobot Ransomware,它就会确保受害者的机器是否在检查GUID和产品密钥的注册表项之前是否加密。
它使用加密随机数生成器生成加密和解密密钥。
稍后,它共享收集的受害者的数据,并使用生成的密钥通过命令和控制服务器将其发送给攻击者。
一旦勒索软件从攻击者那里收到了所需的命令,它就会启动加密过程并使用RSA加密算法完全加密磁盘文件。
完成加密过程后,Virobot Ransomware显示赎金票据,尽管受害者的地理位置,但仍然用法语写成。
僵尸网络和键盘记录的未来
除了勒索软件感染之外,Virobot还拥有连接回其C&C服务器并将被窃取的键盘记录信息发送给攻击者的键盘记录。
根据趋势科技的说法,Virobot的僵尸网络功能可以通过使用受感染机器的Microsoft Outlook将垃圾邮件发送到用户的联系人列表来证明。Virobot将发送自己的副本或从其C&C服务器下载的恶意文件。
研究人员说,在分析这个勒索软件期间,Virobot不对任何文件进行加密,因为命令和控制服务器暂时停止运行。
分享到:
閱讀更多 Lonelywhitehat 的文章
