前言:
此刻姐妹们对“phppsd”大体比较珍视,小伙伴们都想要知道一些“phppsd”的相关文章。那么小编同时在网摘上汇集了一些有关“phppsd””的相关资讯,希望咱们能喜欢,大家快快来了解一下吧!趋势科技的安全专家发现了一种新的恶意软件,它被追踪为Virobot(RANSOM_VIBOROT.THIAHAH),同时兼具了勒索软件和僵尸网络功能,目前主要在美国肆虐。
一旦某台计算机遭到Virobot的感染,一些目标文件就会被加密,且受感染计算机还会成为垃圾电子邮件僵尸网络的一部分,然后将恶意软件副本分发给更多的受害者。
根据趋势科技的说法,Virobot最初是在9月17日在实际攻击活动中被发现,并且与其他已知的勒索软件家族均不存在任何关联。也就是说,它是一种全新的勒索软件。
当Virobot被下载到计算机之后,它将检查一些特定注册表项(计算机GUID和产品密钥)是否存在,以确定是否对该计算机上的文件进行加密。用于检查特定注册表项的代码如下:
如果注册表项存在,它将会利用加密随机数生成器生成加密密钥和解密密钥,然后通过POST将密钥与受感染计算机相关的数据一起发送到命令和控制(C&C)服务器。
然后,它将正式开始对文件进行加密。从Virobot用于实现加密功能的代码片段来看,它会对以下文件类型进行加密(采用RSA算法):.txt、.docx、.xlsx、.pptx、.jpg、.png、.csv、.sql、.mdb、.php、.asp、.xml、.psd、.odt和.html。
在完成加密之后,它将以两种形式显示赎金票据:带有勒索信息的计算机桌面背景和名为“README.ext”的文本文件。有意思的是,尽管Virobot目前主要针对的是美国计算机用户,但它的赎金票据却是采用法语编写的。
从趋势科技的分析报告来看,Virobot还兼具了键盘记录功能,能够收集受害者的击键数据,并上传到C&C服务器。另外,一旦连接到C&C服务器,它还可能会下载另一个恶意文件文件,并使用PowerShell执行它。
以上描述的都是Virobot的勒索软件功能,正如文章一开头所提到的那样,Virobot同时还兼具了僵尸网络功能。根据趋势科技的说法,Virobot能够利用受感染计算机上的Microsoft Outlook来实现垃圾电子邮件僵尸网络功能,并将其自身副本(或从C&C服务器下载的恶意文件)分发给受害者联系人列表中的其他人。
如上所述,勒索软件需要与其C&C服务器建立通信才能成功加密文件。趋势科技表示,在他们编写这份报告时,Virobot不再能够加密文件,因为它的C&C服务器已经被移除。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
标签: #phppsd