Category

captcha

Close Panel

Virobot, un rançongiciel connecté à un serveur de commande et contrôle

by Admin | 26th septembre 2018

Un nouveau rançongiciel, Virobot, a été découvert récemment. Ce programme malveillant chiffre les fichiers présents sur le système, enregistre les frappes du clavier et est connecté à un serveur de commande et contrôle (C&C). Le rançongiciel en question n’a aucun lien avec d’autres logiciels malveillants de son genre.

Vecteur d’infection et de propagation

Virobot utilise le même vecteur d’infection que la majorité des rançongiciels, à savoir l’ingénierie sociale via courriel électronique; un attaquant peut persuader une victime à télécharger et exécuter des fichiers contenant ce logiciel malveillant. Ce programme malveillant récupère également la liste de contacts de la victime stockée dans Outlook et leur envoie une copie du programme.

Vecteur d’attaque

Virobot commence par générer une clé de chiffrement aléatoire et entame la communication avec le serveur de commande et contrôle. Le processus de chiffrement se base sur l’algorithme RSA et cible les fichiers avec les extensions « TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN, PHP, ASP, ASPX, HTML, XML, PSD, PDF, SWP« . Une fois le chiffrement terminé, Virobot affiche un message en français demandant une rançon de 500€ en bitcoin à payer dans les 72 heures qui suivent.

Informations complémentaires

D’après la plateforme Virustotal, le programme malveillant aurait pour nom « Office Updater.exe » et serait apparu le 09 septembre 2018 d’après sa date de compilation. Le serveur de commande et contrôle (C&C) aurait été désactivé avant le 17 septembre d’après la malware Hunter Team. Le rançongiciel se sert de ce serveur pour déterminer si le système doit être compromis. En l’absence de connexion, les fichiers ne sont pas chiffrés. Par conséquent, le programme malveillant est dormant jusqu’à ce que son serveur C&C soit réactivé.

Recommandations

Virobot est classé par les chercheurs comme Botnet. Pour se protéger contre cette menace, il est conseillé d’être vigilants en traitant les courriels suspects ou non sollicités. Aussi, il est recommandé d’avoir une solution de détection comportementale des virus dans les courriels et les pièces jointes.

Leave a Reply

Name (Required)

Email (Required - will not be published)

Website

Message (Required)


Hit Counter provided by Skylight