Программа шифрует файлы, рассылает спам по адресной книге и перехватывает работу с клавиатурой.
Новый ботнет атакует пользователей в США и пытается шифровать файлы на компьютере с целью получения выкупа. Вредоносный штамм не принадлежит ни к одному из известных семейств и помимо кодирования информации рассылает спам по адресной книге жертвы. Деструктивные функции программы в данный момент задействованы не полностью из-за недоступности командного сервера.
Специалисты Trend Micro обнаружили зловред, названный Viro, 17 сентября 2018 года. Как выяснили эксперты, после проникновения в систему программа обращается к реестру Windows и проверяет уникальный идентификатор устройства (GUID), а также сведения об установленных программах, чтобы определить возможность дальнейшей атаки.
На следующем этапе при помощи генератора случайных чисел Viro создает ключи шифрования и отправляет их на командный сервер вместе со сведениями о компьютере жертвы. Зловред открывает канал обмена данными с центром управления при помощи POST-запросов, после чего приступает к кодированию информации на зараженном устройстве. Программа применяет RSA-шифрование, чтобы обработать два десятка типов пользовательских файлов, включая популярные офисные форматы и изображения.
После завершения шифрования вредоносный скрипт блокирует устройство и выводит на экран сообщение с требованием о выкупе, а также создает на диске текстовые файлы, содержащие предупреждение о кодировании. Несмотря на то что атака нацелена на американских пользователей, послания злоумышленников написаны на французском языке. Как сообщили исследователи, злоумышленники требуют перечислить им биткойны на сумму примерно $520.
Как выяснили исследователи, зловред не может выполнять шифрование файлов без связи с центром управления. Специалисты сообщили, что в данный момент командный сервер отключен и кодирование не производится, однако не исключено, что зараженные компьютеры будут заблокированы, когда сайт веб-ресурс злоумышленников снова будет доступен онлайн.
Кроме блокировки компьютера, Viro обладает еще рядом деструктивных функций. Зловред перехватывает с клавиатуры и отправляет на командный сервер данные о нажатиях, может загружать на скомпрометированное устройство исполняемые файлы и запускать их в среде PowerShell, а также рассылать спам по адресной книге почтового клиента Outlook. Вредоносные письма содержат установщик программы или другое ПО, полученное от командного сервера.
Стоит отметить, что сумма выкупа, указанная в сообщении о блокировке, наводит на мысль, что за кампанией стоят неопытные киберпреступники, поскольку злоумышленники со стажем обычно требуют гораздо большие суммы за расшифровку. Так, например, группировка Lazarus, которая недавно взяла на вооружение новую программу-вымогатель, запрашивает со своих жертв сотни тысяч долларов.