Ransomware Viro trafił dzisiaj na wokandę, ponieważ dotychczas nie spotkaliśmy się ze szkodliwym oprogramowaniem, które jednocześnie szyfruje pliki, ma funkcję keyloggera i rozprzestrzenia złośliwe wiadomości, aby dotrzeć do większej liczy ofiar. Viro jest pod tym względem unikalną wersją wirusa typu ransomware, gdyż nie jest klonem żadnego wcześniej odkrytego wariantu — a przypomnijmy, że jest ich ponad 600.
Viro po raz pierwszy został odkryty 17 września, a więc całkiem niedawno. Złośliwe oprogramowanie po dostaniu się na komputer przeszukuje rejestr systemowy pod kątem unikalnego identyfikatora urządzenia i systemu operacyjnego, aby na podstawie zebranych danych wygenerować unikalny numer urządzenia i zdecydować, czy powinno zostać zaszyfrowane.
Jeśli tak, to ransomware Viro generuje parę kluczy (publiczny i prywatny) za pośrednictwem generatora kryptograficznego liczb losowych — informacje te zostają wysłane do serwera przestępcy.
Następnie rozpoczyna się proces szyfrowania następujących plików:
Po zaszyfrowaniu wyświetlana jest informacja z okupem w języku francuskim (pomimo że ransomware Viro wycelowane jest w użytkowników z USA):
Viro posiada również funkcję keyloggera, czyli wysyła zarejestrowane uderzenia klawiszy z zainfekowanej maszyny do serwera C&C. Dodatkowo może pobierać pliki — prawdopodobnie inne binarne pliki malware i uruchamia je za pomocą PowerShell.
Wspominana funkcjonalność rozprzestrzeniania spamu wykorzystuje klienta poczty Microsoft Outlook do wysyłania wiadomości ze spamem na listę kontaktów użytkownika. W wiadomości załączona jest kopia ransomware lub pobrany plik z serwera C&C.
Jak się chronić przed ransomware Viro i podobnymi odmianami?
Ransomware Viro to wieloskładnikowe szkodliwe oprogramowanie. Do zaszyfrowania musi nawiązać komunikację z serwer C&C, dlatego przed nieznanymi plikami łączącymi się z Internetem ostrzec może dwukierunkowy firewall, który jest częścią większości renomowanych programów ochronnych. Mamy tu też do czynienia z uruchamianymi skryptami PowerShell, a także złośliwymi załącznikami. Na to wszystko przygotowaliśmy praktyczne i skuteczne porady herdeningu, czyli zabezpieczania systemu Windows 10 (i nie tylko).
Ransomware Viro jest kolejnym szkodliwym oprogramowaniem, któremu jeśli wyłączyć Powershell i makra, nie będzie w stanie wyrządzić żadnej szkody na komputerze użytkownika.
