Ransomware Viro szyfruje pliki, szpieguje i rozprzestrzenia spam

25 września, 2018

Ransomware Viro trafił dzisiaj na wokandę, ponieważ dotychczas nie spotkaliśmy się ze szkodliwym oprogramowaniem, które jednocześnie szyfruje pliki, ma funkcję keyloggera i rozprzestrzenia złośliwe wiadomości, aby dotrzeć do większej liczy ofiar. Viro jest pod tym względem unikalną wersją wirusa typu ransomware, gdyż nie jest klonem żadnego wcześniej odkrytego wariantu — a przypomnijmy, że jest ich ponad 600.

ransomware chmura tagów

Viro po raz pierwszy został odkryty 17 września, a więc całkiem niedawno. Złośliwe oprogramowanie po dostaniu się na komputer przeszukuje rejestr systemowy pod kątem unikalnego identyfikatora urządzenia i systemu operacyjnego, aby na podstawie zebranych danych wygenerować unikalny numer urządzenia i zdecydować, czy powinno zostać zaszyfrowane.

ransomware Viro klucze rejestru

Jeśli tak, to ransomware Viro generuje parę kluczy (publiczny i prywatny) za pośrednictwem generatora kryptograficznego liczb losowych — informacje te zostają wysłane do serwera przestępcy.  

Następnie rozpoczyna się proces szyfrowania następujących plików:

ransomware viro szyfruje pliki

Po zaszyfrowaniu wyświetlana jest informacja z okupem w języku francuskim (pomimo że ransomware Viro wycelowane jest w użytkowników z USA):

ransomware viro

Viro posiada również funkcję keyloggera, czyli wysyła zarejestrowane uderzenia klawiszy z zainfekowanej maszyny do serwera C&C. Dodatkowo może pobierać pliki — prawdopodobnie inne binarne pliki malware i uruchamia je za pomocą PowerShell.

Wspominana funkcjonalność rozprzestrzeniania spamu wykorzystuje klienta poczty Microsoft Outlook do wysyłania wiadomości ze spamem na listę kontaktów użytkownika. W wiadomości załączona jest kopia ransomware lub pobrany plik z serwera C&C.

Jak się chronić przed ransomware Viro i podobnymi odmianami?

Ransomware Viro to wieloskładnikowe szkodliwe oprogramowanie. Do zaszyfrowania musi nawiązać komunikację z serwer C&C, dlatego przed nieznanymi plikami łączącymi się z Internetem ostrzec może dwukierunkowy firewall, który jest częścią większości renomowanych programów ochronnych. Mamy tu też do czynienia z uruchamianymi skryptami PowerShell, a także złośliwymi załącznikami. Na to wszystko przygotowaliśmy praktyczne i skuteczne porady herdeningu, czyli zabezpieczania systemu Windows 10 (i nie tylko).

Ransomware Viro jest kolejnym szkodliwym oprogramowaniem, któremu jeśli wyłączyć Powershell i makra, nie będzie w stanie wyrządzić żadnej szkody na komputerze użytkownika.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]