Ransomware Viro trafił dzisiaj na wokandę, ponieważ dotychczas nie spotkaliśmy się ze szkodliwym oprogramowaniem, które jednocześnie szyfruje pliki, ma funkcję keyloggera i rozprzestrzenia złośliwe wiadomości, aby dotrzeć do większej liczy ofiar. Viro jest pod tym względem unikalną wersją wirusa typu ransomware, gdyż nie jest klonem żadnego wcześniej odkrytego wariantu — a przypomnijmy, że jest ich ponad 600.

ransomware chmura tagów
Chmura ransomware została sporządzona na podstawie źródła: id-ransomware.malwarehunterteam.com

Viro po raz pierwszy został odkryty 17 września, a więc całkiem niedawno. Złośliwe oprogramowanie po dostaniu się na komputer przeszukuje rejestr systemowy pod kątem unikalnego identyfikatora urządzenia i systemu operacyjnego, aby na podstawie zebranych danych wygenerować unikalny numer urządzenia i zdecydować, czy powinno zostać zaszyfrowane.

ransomware Viro klucze rejestru

Jeśli tak, to ransomware Viro generuje parę kluczy (publiczny i prywatny) za pośrednictwem generatora kryptograficznego liczb losowych — informacje te zostają wysłane do serwera przestępcy.  

Następnie rozpoczyna się proces szyfrowania następujących plików:

ransomware viro szyfruje pliki

Po zaszyfrowaniu wyświetlana jest informacja z okupem w języku francuskim (pomimo że ransomware Viro wycelowane jest w użytkowników z USA):

ransomware viro

Viro posiada również funkcję keyloggera, czyli wysyła zarejestrowane uderzenia klawiszy z zainfekowanej maszyny do serwera C&C. Dodatkowo może pobierać pliki — prawdopodobnie inne binarne pliki malware i uruchamia je za pomocą PowerShell.

Wspominana funkcjonalność rozprzestrzeniania spamu wykorzystuje klienta poczty Microsoft Outlook do wysyłania wiadomości ze spamem na listę kontaktów użytkownika. W wiadomości załączona jest kopia ransomware lub pobrany plik z serwera C&C.

Jak się chronić przed ransomware Viro i podobnymi odmianami?

Ransomware Viro to wieloskładnikowe szkodliwe oprogramowanie. Do zaszyfrowania musi nawiązać komunikację z serwer C&C, dlatego przed nieznanymi plikami łączącymi się z Internetem ostrzec może dwukierunkowy firewall, który jest częścią większości renomowanych programów ochronnych. Mamy tu też do czynienia z uruchamianymi skryptami PowerShell, a także złośliwymi załącznikami. Na to wszystko przygotowaliśmy praktyczne i skuteczne porady herdeningu, czyli zabezpieczania systemu Windows 10 (i nie tylko).

Ransomware Viro jest kolejnym szkodliwym oprogramowaniem, któremu jeśli wyłączyć Powershell i makra, nie będzie w stanie wyrządzić żadnej szkody na komputerze użytkownika.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz