Een Virobot met ransomware-smaak en keylogger-mogelijkheden bleek in staat om personal computers tot slaaf te maken in een botnet, meldde een aantal sites, waaronder: HotHardware . Het had gevolgen voor doelen in de Verenigde Staten.

Het sluit niet alleen de computers op die het infecteert, maar werft ze ook aan als onderdeel van een botnet. Brandon Hill's rapport van vrijdag beschrijft computers die slachtoffer zijn geworden van een soort zombie-botnet met een ransomware-component, niet minder.

De computer van een geïnfecteerde gebruiker ziet de losgeldnota weergegeven, zei Heuvel, "maar hoewel Virobot vooral gebruikers in de Verenigde Staten heeft getroffen, het is in het Frans geschreven."

Hoeveel vraagt ​​het? Alfred Ng van CNET zei dat het biljet "ongeveer $ 520 in bitcoin" eiste.

Heuvel op HotHardware zei dat er een "meervoudige" aanvalsvector aan het werk was. Ng in CNET zei ook dat de malware zeker "geen enkel onderdeel van een geïnfecteerde computer verloren liet gaan". CNET zei dat de Virobot apparaten infecteert en ze vervolgens dwingt om malware via e-mail te verspreiden.

Onheil met je e-mail? Hill zei dat de Virobot "ook de volledige controle over Microsoft Outlook kan krijgen om mee te doen aan een spamcampagne voor e-mail." Ng zei dat de e-mail een kopie van Virobot bevat in de hoop de malware te verspreiden.

Sergiu Gatlan besprak dit in Softpedia :De geïnfecteerde e-mails worden naar de Outlook-contactenlijst van het slachtoffer gestuurd, met een kopie van de malware of een link naar een payload-bestand dat op de doelcomputer is gedownload wanneer het spambericht wordt geopend.

Wie heeft het gezien? Rapporten zeiden dat onderzoekers van Trend Micro dat deden, eerder deze maand. Het Trend Micro-blog liet de lezers zien wat er gebeurt en hoe. Niet dat het een schok was om te zien dat ransomware in 2018 nog steeds de kop opstak.

"We hebben voorspeld dat ransomware-aanvallen in 2017 zullen afvlakken, maar in de loop van de tijd zullen diversifiëren in termen van aanvalsmethoden, " schreef het bedrijf in zijn blog van 21 september. "Ransomware-activiteit in de eerste helft van 2018 bewees dat dit waar was, met meer innovatieve methoden om de lat hoger te leggen."

Ze zeiden dat Virobot gedetecteerd door Trend Micro een goed voorbeeld was, waargenomen met zowel ransomware als botnet-mogelijkheden.

"Zodra Virobot is gedownload naar een machine, het zal de aanwezigheid van registersleutels (machine-GUID en productsleutel) controleren om te bepalen of het systeem versleuteld moet worden. De ransomware genereert vervolgens een encryptie- en decryptiesleutel via een cryptografische Random Number Generator. Samen met de gegenereerde sleutel, Virobot stuurt de door de machine verzamelde gegevens vervolgens via POST naar zijn C&C-server."

Virobot start het versleutelingsproces en daarna wordt een losgeldbriefje weergegeven ("Vos fichiers personnels ont été chiffré.").

Het goede nieuws:de C&C-server van Virobot is offline gehaald, schreef Heuvel. De ransomware kan geen bestanden meer versleutelen. Momenteel, Virobot's command-and-control (C&C) server is afgesloten, " zei Gatlan in Softpedia , "en de malware zal geïnfecteerde systemen niet succesvol kunnen versleutelen totdat de bedreigingsactoren die het hebben ontworpen, overschakelen naar een nieuwe."

Haha. Dat brengt ons bij het slechte nieuws:Gatlan zei dat "de malware niet in staat zal zijn om geïnfecteerde systemen met succes te versleutelen totdat de bedreigingsactoren die het hebben ontworpen, overschakelen naar een nieuwe." Totdat de acteurs overstappen op een nieuwe... voor herhaling vatbaar?

Hill had een soortgelijke opmerking in zijn artikel, zeggende:"er is geen manier om te weten of andere Virobot-mutaties zich de komende dagen en weken zullen voortplanten."

© 2018 Tech Xplore