首页 > 安全钻研 > 安全传递 > 安全公告

新型勒索病毒VIBOROT安全公告

颁布功夫 2018-09-28

技术细节

VIBOROT勒索病毒于2018年9月中旬初次发现，被该病毒加密后的文件扩大名为.enc。通过度析该病毒，我们发显熹首先通过查抄注册表键值(推算机GUID和产品密钥)来确认是否必要加密被习染系统中的文件。

宝运莱·(中国区)最新官方网站

【VIBOROT通过查问注册表来判断是否存在特定注册表键值】

若是被习染系统中存在特定的注册表键值，该勒索病毒不仅通过随机数加密天生器天生加密和解密密钥，用来加密系统中的文件�；够峤绲氖芎φ咝畔⑼ü齈OST发送到C&C服务器，其网络如下信息:
推算机GUID
推算机名
用户名
VIBOROT勒索病毒加密如下扩大名文件:

宝运莱·(中国区)最新官方网站

【VIBOROT加密�？榇虢赝肌�

VIBOROT勒索病毒还拥有键盘纪录职能，其会将纪录的信息发送给C&C服务器，一旦衔接成功，其还会下载恶意的二进造文件，并通过PowerShell执行它。

宝运莱·(中国区)最新官方网站

【VIBOROT键盘纪录职能代码截图】

VIBOROT勒索病毒使用被习染机械的Microsoft Outlook自动向被害者的通讯录发送垃圾邮件，其附件为VIBOROT勒索病毒或者是从C&C服务器下载的恶意文件。

宝运莱·(中国区)最新官方网站

【VIBOROT使用Microsoft Outlook发送垃圾邮件代码截图】

习染该勒索病毒后，其桌面图纸造成如下勒索信息：

【VIBOROT勒索信息截图】

防备步骤

1.不重点击起源不明的邮件以及附件；
2.不重点击邮件中的可疑链接；
3.实时升级系统，打整系统补��；
4.尽量关关不用要的文件共享权限和不用要的端口；

5.请把稳备份沉要文档。备份的最佳做法是采取3-2-1规定，即至少做三个副本，用两种分歧体式保留，并将副本放在异地存储。

IOCs

Hash detected as RANSOM_VIBOROT.THIAHAH (SHA256):
911b25a4d99e65ff920ba0e2ef387653b45789ef4693ef36d95f14c9777a568b
Related malicious URLs:
hxxps://viro(.)mleydier(.)fr
hxxps://viro(.)mleydier(.)fr/noauth/order/
hxxps://viro(.)mleydier(.)fr/noauth/keys/
hxxps://viro(.)mleydier(.)fr/noauth/attachment/

hxxps://viro(.)mleydier(.)fr/noauth/attachment/

参考链接

https://blog.trendmicro.com/trendlabs-security-intelligence/virobot-ransomware-with-botnet-capability-breaks-through/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

新型勒索病毒VIBOROT安全公告

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线