Crédito:CC0 Public Domain
Se descubrió que un Virobot con sabor a ransomware con capacidades de keylogger era capaz de esclavizar computadoras personales en una botnet, informó sobre una serie de sitios, incluidos HotHardware . Afectaba a objetivos en Estados Unidos.
No solo bloquea las computadoras que infecta, sino que las alista como parte de una botnet. El informe de Brandon Hill del viernes describió las computadoras victimizadas colocadas en una especie de botnet zombie con un componente de ransomware, no menos.
La computadora de un usuario infectado ve la nota de rescate mostrada, dijo Hill, "pero a pesar de que Virobot ha afectado principalmente a los usuarios de Estados Unidos, está escrito en francés ".
¿Cuánto pide? Alfred Ng en CNET dijo que la nota exigía "alrededor de $ 520 en bitcoins".
Colina en HotHardware dijo que un vector de ataque "de múltiples frentes" estaba funcionando. Ng en CNET también dijo que el malware ciertamente no estaba "dejando que ninguna parte de una computadora infectada se desperdiciara". CNET dijo que Virobot infecta los dispositivos y luego los obliga a propagar malware a través del correo electrónico.
¿Travesuras con tu correo electrónico? Hill dijo que Virobot "también puede tomar el control total sobre Microsoft Outlook para unirse a una campaña de correo no deseado". Ng dijo que el correo electrónico tiene una copia de Virobot con la esperanza de difundir el malware.
Sergiu Gatlan discutió esto en Softpedia :Los correos electrónicos infectados se envían a la lista de contactos de Outlook de la víctima, que contiene una copia del malware o un enlace a un archivo de carga descargado en la máquina de destino cuando se abre el mensaje de spam.
¿Quién lo vio? Los informes dicen que los investigadores de Trend Micro lo hicieron, a principios de este mes. El blog de Trend Micro explicó a los lectores qué sucede y cómo. No es que haya sido un shock ver que el ransomware aún asoma la cabeza en 2018.
"Hemos pronosticado que los ataques de ransomware se estabilizarán en 2017, pero se diversificarán en términos de métodos de ataque a medida que avance el tiempo, ", escribió la compañía en su blog del 21 de septiembre." La actividad de ransomware en la primera mitad de 2018 demostró que esto es cierto, con métodos más innovadores para subir la apuesta ".
Dijeron que Virobot detectado por Trend Micro era un buen ejemplo, observado con capacidades de ransomware y botnet.
"Una vez que Virobot se descarga en una máquina, Verificará la presencia de claves de registro (GUID de la máquina y clave de producto) para determinar si el sistema debe estar encriptado. El ransomware luego genera una clave de cifrado y descifrado a través de un generador de números aleatorios criptográfico. Junto con la clave generada, Luego, Virobot enviará los datos recopilados por la máquina a su servidor C&C a través de POST ".
Virobot inicia el proceso de cifrado y, a continuación, aparece una nota de rescate ("Vos fichiers staffs ont été chiffré.").
La buena noticia:el servidor C&C de Virobot se ha desconectado, escribió Hill. El ransomware ya no puede cifrar archivos. En este momento, El servidor de comando y control (C&C) de Virobot se ha cerrado, "dijo Gatlan en Softpedia , "y el malware no podrá cifrar con éxito los sistemas infectados hasta que los actores de la amenaza que lo diseñaron cambien a uno nuevo".
Hah. Eso nos lleva a las malas noticias:Gatlan dijo que "el malware no podrá cifrar con éxito los sistemas infectados hasta que los actores de amenazas que lo diseñaron cambien a uno nuevo". Hasta que los actores cambien a un nuevo ... ¿vale la pena repetirlo?
Hill tenía un comentario similar que hacer en su artículo, diciendo "no hay forma de saber si otras mutaciones de Virobot comenzarán a propagarse en los próximos días y semanas".
© 2018 Tech Xplore