Un Virobot à saveur de ransomware avec des capacités d'enregistreur de frappe s'est avéré capable d'asservir des ordinateurs personnels dans un botnet, signalé un certain nombre de sites, dont HotHardware . Cela affectait des cibles aux États-Unis.

Il verrouille non seulement les ordinateurs qu'il infecte, mais les enrôle dans le cadre d'un botnet. Le rapport de Brandon Hill de vendredi décrivait des ordinateurs victimes placés dans une sorte de botnet zombie avec un composant ransomware, pas moins.

L'ordinateur d'un utilisateur infecté voit la demande de rançon s'afficher, dit Hill, "mais même si Virobot a principalement touché les utilisateurs aux États-Unis, c'est écrit en français."

Combien cela demande-t-il ? Alfred Ng dans CNET a déclaré que la note demandait "environ 520 $ en bitcoin".

Colline dans HotHardware a déclaré qu'un vecteur d'attaque "à plusieurs volets" était à l'œuvre. Ng de CNET a également déclaré que le logiciel malveillant ne "laissait certainement aucune partie d'un ordinateur infecté se perdre". CNET a déclaré que le Virobot infecte les appareils et les oblige ensuite à diffuser des logiciels malveillants par courrier électronique.

Méfait avec votre e-mail? Hill a déclaré que le Virobot "peut également prendre le contrôle total de Microsoft Outlook pour participer à une campagne de spam par courrier électronique". Ng a déclaré que l'e-mail contenait une copie de Virobot dans l'espoir de propager le logiciel malveillant.

Sergiu Gatlan en a parlé dans Softpédia :les e-mails infectés sont envoyés à la liste de contacts Outlook de la victime, contenant une copie du logiciel malveillant ou un lien vers un fichier de charge utile téléchargé sur la machine cible lorsque le message de spam est ouvert.

Qui l'a repéré ? Les rapports indiquent que les chercheurs de Trend Micro l'ont fait, plus tôt ce mois-ci. Le blog Trend Micro a expliqué aux lecteurs ce qui se passe et comment. Ce n’est pas que cela ait été un choc de voir un ransomware encore faire son apparition en 2018.

« Nous avons prédit que les attaques de ransomwares plafonneraient en 2017, mais se diversifieront en termes de méthodes d'attaque au fil du temps, " a écrit la société dans son blog du 21 septembre. " L'activité des ransomwares au premier semestre 2018 l'a prouvé, avec des méthodes plus innovantes pour augmenter la mise."

Ils ont dit que Virobot détecté par Trend Micro en était un exemple, observé à la fois avec les capacités de ransomware et de botnet.

"Une fois Virobot téléchargé sur une machine, il vérifiera la présence de clés de registre (GUID machine et clé de produit) pour déterminer si le système doit être crypté. Le ransomware génère ensuite une clé de cryptage et de décryptage via un générateur de nombres aléatoires cryptographique. Avec la clé générée, Virobot enverra ensuite les données collectées par la machine à son serveur C&C via POST."

Virobot lance le processus de cryptage et ensuite vient l'affichage d'une demande de rançon ("Vos fichiers personnels ont été chiffrés.").

La bonne nouvelle :le serveur C&C de Virobot a été mis hors ligne, a écrit Hill. Le ransomware n'est plus en mesure de crypter les fichiers. À l'heure actuelle, Le serveur de commande et de contrôle (C&C) de Virobot a été arrêté, " a déclaré Gatlan dans Softpédia , "et le malware ne pourra pas chiffrer avec succès les systèmes infectés tant que les acteurs de la menace qui l'ont conçu ne passeront pas à un nouveau."

Ah. Cela nous amène à la mauvaise nouvelle :Gatlan a déclaré que "le malware ne pourra pas chiffrer avec succès les systèmes infectés tant que les acteurs de la menace qui l'ont conçu ne passeront pas à un nouveau". Jusqu'à ce que les acteurs passent à un nouveau... qui vaut la peine d'être répété ?

Hill avait une remarque similaire à faire dans son article, disant "il n'y a aucun moyen de savoir si d'autres mutations de Virobot commenceront à se propager dans les jours et semaines à venir".

© 2018 Tech Xplore