首页 > 清静研究 > 清静转达 > 清静通告

新型勒索病毒VIBOROT清静通告

宣布时间 2018-09-28

手艺细节

VIBOROT勒索病毒于2018年9月中旬首次发明，被该病毒加密后的文件扩展名为.enc。通太过析该病毒，我们发明其首先通过检查注册表键值(盘算机GUID和产品密钥)来确认是否需要加密被熏染系统中的文件。

尊龙凯时·(中国区)人生就是搏!

【VIBOROT通过盘问注册表来判断是否保存特定注册表键值】

若是被熏染系统中保存特定的注册表键值，该勒索病毒不但通过随机数加密天生器天生加密息争密密钥，用来加密系统中的文件�；够峤绲氖芎φ咝畔⑼ü齈OST发送到C&C服务器，其网络如下信息:
盘算机GUID
盘算机名
用户名
VIBOROT勒索病毒加密如下扩展名文件:

尊龙凯时·(中国区)人生就是搏!

【VIBOROT加密模块代码截图】

VIBOROT勒索病毒还具有键盘纪录功效，其会将纪录的信息发送给C&C服务器，一旦毗连乐成，其还会下载恶意的二进制文件，并通过PowerShell执行它。

尊龙凯时·(中国区)人生就是搏!

【VIBOROT键盘纪录功效代码截图】

VIBOROT勒索病毒使用被熏染机械的Microsoft Outlook自动向被害者的通讯录发送垃圾邮件，其附件为VIBOROT勒索病毒或者是从C&C服务器下载的恶意文件。

尊龙凯时·(中国区)人生就是搏!

【VIBOROT使用Microsoft Outlook发送垃圾邮件代码截图】

熏染该勒索病毒后，其桌面图纸酿成如下勒索信息：

【VIBOROT勒索信息截图】

提防要领

1.不要点击泉源不明的邮件以及附件；
2.不要点击邮件中的可疑链接；
3.实时升级系统，打全系统补��；
4.只管关闭不须要的文件共享权限和不须要的端口；

5.请注重备份主要文档。备份的最佳做法是接纳3-2-1规则，即至少做三个副本，用两种差别名堂生涯，并将副本放在异地存储。

IOCs

Hash detected as RANSOM_VIBOROT.THIAHAH (SHA256):
911b25a4d99e65ff920ba0e2ef387653b45789ef4693ef36d95f14c9777a568b
Related malicious URLs:
hxxps://viro(.)mleydier(.)fr
hxxps://viro(.)mleydier(.)fr/noauth/order/
hxxps://viro(.)mleydier(.)fr/noauth/keys/
hxxps://viro(.)mleydier(.)fr/noauth/attachment/

hxxps://viro(.)mleydier(.)fr/noauth/attachment/

参考链接

https://blog.trendmicro.com/trendlabs-security-intelligence/virobot-ransomware-with-botnet-capability-breaks-through/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

新型勒索病毒VIBOROT清静通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线