首页 > 安全研究 > 安全通报 > 安全通告

新型勒索病毒VIBOROT安全通告

发布时间 2018-09-28

技术细节


VIBOROT勒索病毒于2018年9月中旬首次发现,被该病毒加密后的文件扩展名为.enc。通过分析该病毒,我们发现其首先通过检查注册表键值(计算机GUID和产品密钥)来确认是否需要加密被感染系统中的文件。

【VIBOROT通过查询注册表来判断是否存在特定注册表键值】


如果被感染系统中存在特定的注册表键值,该勒索病毒不仅通过随机数加密生成器生成加密和解密密钥,用来加密系统中的文件。还会将收集的受害者信息通过POST发送到C&C服务器,其收集如下信息:
计算机GUID
计算机名
用户名
VIBOROT勒索病毒加密如下扩展名文件:


【VIBOROT加密模块代码截图】


VIBOROT勒索病毒还具有键盘记录功能,其会将记录的信息发送给C&C服务器,一旦连接成功,其还会下载恶意的二进制文件,并通过PowerShell执行它。


【VIBOROT键盘记录功能代码截图】


VIBOROT勒索病毒使用被感染机器的Microsoft Outlook自动向被害者的通讯录发送垃圾邮件,其附件为VIBOROT勒索病毒或者是从C&C服务器下载的恶意文件。


【VIBOROT使用Microsoft Outlook发送垃圾邮件代码截图】


感染该勒索病毒后,其桌面图纸变成如下勒索信息:

【VIBOROT勒索信息截图】


防范方法


1.不要点击来源不明的邮件以及附件;
2.不要点击邮件中的可疑链接;
3.及时升级系统,打全系统补丁;
4.尽量关闭不必要的文件共享权限和不必要的端口;

5.请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。


IOCs


Hash detected as RANSOM_VIBOROT.THIAHAH (SHA256):    
911b25a4d99e65ff920ba0e2ef387653b45789ef4693ef36d95f14c9777a568b
Related malicious URLs:
hxxps://viro(.)mleydier(.)fr
hxxps://viro(.)mleydier(.)fr/noauth/order/
hxxps://viro(.)mleydier(.)fr/noauth/keys/
hxxps://viro(.)mleydier(.)fr/noauth/attachment/

hxxps://viro(.)mleydier(.)fr/noauth/attachment/


参考链接


https://blog.trendmicro.com/trendlabs-security-intelligence/virobot-ransomware-with-botnet-capability-breaks-through/
上一篇 下一篇