Virobot Ransomware считывает нажатие клавиш и добавляет ПК в спам Botnet

Недавно обнаруженный штамп ransomware применяет концепцию многопоточности для шифрования файлов, а также лог и кражу нажатий клавиш. Новая версия ransomware была названа Virobot и не имеет прежних связей с предыдущими деревьями-рецессиями в соответствии с кибербезопасностью фирмы Trend Micro, которая обнаружила угрозу на прошлой неделе.

Каким образом ransomware шифрует данные?

В ransomware используется тот же modus operandi, который похож на все предыдущие ransomware на рынке, текущая инфекция также использовалась для спам-писем, известных как malspam, в результате чего пользователь обманывает загрузку и запуск ransomware, прикрепленного к электронным документам. Выручка проявляется путем генерации случайного ключа шифрования и дешифрования, а также отправляет удаленные команды на сервер центра управления (C&C).

Процесс шифрования основывается на схеме шифрования RSA, Virobot будет нацеливать файлы со следующими расширениями: TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN, PHP, ASP, ASPX, HTML, XML, PSD, PDF и SWP.

Как только процесс шифрования завершен, Virobot показывает заметку на экране пользователя, которая написана на французском языке, несмотря на то, что в основном работа нацелена на людей из США.

Согласно Trend Micro, примечание о выкупе более чем достаточно, чтобы определить, пострадал ли пользователь от вымогательства Virobot. Вредоносные программы, такие как MyteryBot, LokiBot, Rakhni или XBash, часто классифицируются с многофункциональными функциями, поэтому Virobot был выпущен как Botnet.

Подписывайтесь на обновления сайта, а также на наш Telegram.