新的Virobot惡意軟體可以用作勒索軟體、鍵盤側錄程式和殭屍網路

新聞來源：ZDNet

Virobot將使用本機安裝的Outlook向其他用戶發送垃圾郵件，並傳播自己的副本。

一個新發現的惡意軟體是一種可以執行多任務的威脅，除了作為勒索軟體加密用戶的文件，它還可以記錄和竊取用戶的鍵盤記錄，並將受感染的電腦增加到發送垃圾郵件的殭屍網路中。

這個新的威脅被命名為Virobot且似乎還正在開發中，它由多個組件組成，允許它作為殭屍網路、勒索軟體和鍵盤記錄程式等工作。

據這星期發現此威脅的網路安全公司趨勢科技透露，它的勒索軟體組件似乎是一種獨特的病毒，與之前的勒索軟體家族沒有任何關係。

但是，雖然Virobot的勒索軟體組件似乎與任何其他勒索軟體無關，但它的操作模式並不是什麽新東西，與之前所有威脅的操作方式相同。

如果用戶被騙進而下載並運行附在電子郵件文檔中的勒索軟體，勒索軟體透過生成一個隨機加密和解密金鑰來運作，該密鑰還會發送到遠端命令和控制(C&C)服務器。

加密過程依賴於RSA加密方法，Virobot的目標文件副檔名如下:TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN, PHP, ASP, ASPX, HTML, XML, PSD, PDF和SWP。
一旦該行動完成後，Virobot會在用戶的螢幕上顯示一張勒索訊息，如下圖所示。這份訊息是用法語寫的，趨勢科技的研究人員發現這很奇怪，因為散佈勒索軟體的活動針對的是美國用戶。

Virobot 的勒索訊息

有趣的是，Virobot並不是唯一一個過去幾周出現與法國有關的勒索軟體。8月底，安全研究人員發現，一種名為PyLocky的勒索軟體，是模仿更為著名的Locky勒索軟體而出現的，它也鎖定了法國，儘管Virobot和PyLocky之間似乎沒有關聯。

至於Virobot的其他模組，趨勢科技提到，鍵盤側錄系統非常簡單，記錄了所有的本機按鍵並將原始數據發送到C&C伺服器。另一方面，殭屍網路模組更強大。這個模組還允許Virobot的受害者從勒索軟體的C&C伺服器下載其他惡意軟體並執行它。

此外，該模組還可以作為垃圾郵件模組，使用本機安裝的Outlook應用程式將垃圾郵件發送到用戶的聯絡人列表。據趨勢科技指出，Virobot將使用這個模塊散播自己的副本或從C&C伺服器下載的另一個惡意文件。

ID Ransomware是一種掃描加密文件以確定是被哪種勒索軟體感染了個人電腦的服務，其所有者Michael Gillespie今天告訴ZDNet，目前還沒有辦法透過他的服務來檢測Virobot的感染。

這是因為勒索軟體組件與其他惡意程式共享常見檢測指標，例如，將.enc副檔名的文
件加密，這是許多其他惡意程式也會使用的副檔名。幸運的是，它的法語版贖金通知足以讓用戶猜測或確定自己感染了Virobot。

據趨勢科技說，目前這種威脅暫時得到了緩解，因為在編寫時Virobot的C&C伺服器已經關閉，這意味著如果Virobot的勒索軟體模組感染了新的受害者，它將不會啟動加密程序。

雖然這是一個新的惡意程式，這很可能是因為大多數惡意軟體經銷商進行的測試，預計勒索軟體的C&C伺服器最終將在未來更廣泛的散播活動中恢復。

Virobot也不是第一個結合了不同組件的惡意軟體。勒索軟體、銀行木馬、鍵盤側錄程式和其他惡意軟體之間的界線在過去幾年變得越來越模糊。

例如，像MysteryBot、LokiBot、Rakhni或XBash這些惡意軟體常常帶有多功能的特性，把從勒索軟體挖礦軟體的所有東西都混合在一起。

也許這就是為什麽一些研究人員現在正在質疑趨勢科技將Virobot歸類為勒索軟體而不是殭屍網路的決定。隨著界線變得模糊，很難再分辨出什麽是什麽了。

參考位址： https://www.zdnet.com/article/new-virobot-ransomware-will-also-log-keystrokes-add-pc-to-a-spam-botnet/