2018年9月24日
研究人員發現了新的Virobot Ransomware,它與殭屍網絡未來一起分發,主要關注基於美國的受害者。
攻擊者使用垃圾郵件殭屍網絡將勒索軟件傳遞給更多的受害者,而這些勒索軟件沒有以前的勒索軟件家族。
網絡犯罪分子總是通過開發複雜的威脅來尋找新的創新技術來危害受害者。
最初,Virobot Ransomware在2017年觀察到,它最初是勒索軟件收集,機器GUID,機器名稱,用戶名。
Virobot Ransomware感染過程
一旦目標受害者感染了Virobot Ransomware,它就會確保受害者的機器是否在檢查GUID和產品密鑰的註冊表項之前是否加密。
它使用加密隨機數生成器生成加密和解密密鑰。
稍後,它共享收集的受害者的數據,並使用生成的密鑰通過命令和控制服務器將其發送給攻擊者。
一旦勒索軟件從攻擊者那裡收到了所需的命令,它就會啟動加密過程並使用RSA加密算法完全加密磁盤文件。
完成加密過程後,Virobot Ransomware顯示贖金票據,儘管受害者的地理位置,但仍然用法語寫成。
殭屍網絡和鍵盤記錄的未來
除了勒索軟件感染之外,Virobot還擁有連接回其C&C服務器並將被竊取的鍵盤記錄信息發送給攻擊者的鍵盤記錄。
根據趨勢科技的說法,Virobot的殭屍網絡功能可以通過使用受感染機器的Microsoft Outlook將垃圾郵件發送到用戶的聯繫人列表來證明。Virobot將發送自己的副本或從其C&C服務器下載的惡意文件。
研究人員說,在分析這個勒索軟件期間,Virobot不對任何文件進行加密,因為命令和控制服務器暫時停止運行。
分享到:
閱讀更多 Lonelywhitehat 的文章
