Viro Botnet Malware antager mange forskellige former

Læsetid: 3 minutter

Den seneste, mærkeligste nye ransomware ser ud til at komme fra Frankrig, eller i det mindste fra fransktalende cyberangribere.

Hvis din Windows-pc er blevet inficeret af helt ny Viro botnet ransomware, vil du se denne løsesumseddel, uanset hvor i le monde du er. Tout le monde er et muligt mål:

Vos fichiers personnels ont été chiffré.

Pour les déchiffrer, evonyez 500€ de bitcoins à cette adresse: xxxxx

Toute tentative destruction de ce logiciel entraïnera la destruction da la clé de déchiffrement.

Toute tentative de déchiffrement avec une clé erronée entraïnera la perte définitive de vos fichiers.

Vous avez 72 heures pour effectuer le paiement. Après quoi, la clé de déchiffrement sera supprimée.

Jeg forstår fransk seulement un peu, så jeg vil prøve en ufuldkommen oversættelse. Jeg lærte, at les fichiers er filer, og chiffré er kryptering, så lad os prøve det:

Dine personlige filer er blevet krypteret.

For at dekryptere dem, send 500 € værd af Bitcoin til denne adresse: xxxxx

Alle forsøg på at ødelægge softwaren vil føre til ødelæggelse af dekrypteringsnøglen.

Alle forsøg på dekryptering med den forkerte nøgle vil føre til tab af dine filer.

Du har 72 timer til at foretage din betaling. Derefter vil dekrypteringsnøglen blive slettet.

I modsætning til hvad folk tror, ​​er de fleste canadiere ikke engelsk-fransk tosprogede, og selvom mit fransk er lidt bedre end de fleste anglo-canadiere, er det stadig en smule svagt. Nå ja – c'est la vie.

Forekomster af ransomware bliver en smule mindre hyppige i 2018 end i 2017. Men mange nye ransomware-stammer bliver virkelig, virkelig mærkelige. Viro botnet malware er et glimrende eksempel.

Viro-botnet-angrebene, der hidtil er set, inficerer en brugers Windows-maskine gennem en ondsindet vedhæftet fil. Hvis brugeren udfører vedhæftningen, genereres en tilfældig krypterings- og dekrypteringsnøgle, som også sendes til Viro kommando- og kontrolservere (C&C).

Viro-malwaren søger derefter efter to Windows-registreringsnøgler, "ProductId" ved "SOFTWARE\Microsoft\Windows NT\CurrentVersion" og "MachineGuid" ved "SOFTWARE\Microsoft\Cryptography." Hvis begge findes, vil malwaren derefter bruge en RSA-chiffer til at kryptere alle filer med følgende udvidelser

ASP ASPX CSV DOC DOCX HTML JPG MDB

ODT PDF PHP PNG PPT PPTX PSD

SL forlængelse SQL SWP TXT XLS XLSX XML

Listen dækker de vigtigste dokumenter og mediefiltyper, men intet, der ville forhindre brugeren i at bruge Windows på en grundlæggende måde. Men at miste dine dokumenter er sikkert nok til at tvinge de fleste mennesker til at betale løsesummen til cyberangriberen, men ikke nok til fuldstændigt at lamme dem. Der kan være en metode til cyberangriberens vanvid.

Løsebeløbssedlen vises på brugerens skærm, når krypteringsprocessen starter. Så bliver maskinen også en del af Viro-botnettet og sender e-mails med ondsindede vedhæftede filer til andre mulige mål.

I malwarens kode har forskere også fundet en keylogger, som sender de loggede tastetryk tilbage til C&C-serverne. De fandt også ud af, at inficerede mål kan downloade mere malware fra C&C-serverne og udføre det gennem Windows PowerShell.

Det ser ud til, at cyberangriberne har meget større ambitioner for Viro end blot et botnet, der transmitterer en unik stamme af ransomware. Malwaren er sandsynligvis stadig under udvikling, og PowerShell-udnyttelsen kan bruges til fuldstændig at kontrollere ofrenes computere.

Der er endnu ingen nyheder om, hvorvidt betaling af løsesum rent faktisk vil dekryptere dine filer. Uanset hvad, åbne aldrig en e-mail-vedhæftet fil fra en ukendt afsender! Eller tjek ud Comodo Advanced Endpoint Protection, der vil gøre selv Viro harmløs!

Relaterede ressourcer:

Malware-scanner på webstedet

START GRATIS PRØVNING FÅ DIT ØJEBLIKKE SIKKERHEDSSCORECARD GRATIS

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://blog.comodo.com/comodo-news/viro-botnet-malware-takes-many-different-forms/