首页 > 安全钻研 > 安全传递 > 安全公告

新型勒索病毒VIBOROT安全公告

颁布功夫 2018-09-28

技术细节

VIBOROT勒索病毒于2018年9月中旬初次发现，被该病毒加密后的文件扩大名为.enc。通过度析该病毒，我们发显熹首先通过查抄注册表键值(推算机GUID和产品密钥)来确认是否必要加密被习染系统中的文件。

GA黄金甲·(中国区)官方网站

【VIBOROT通过查问注册表来判断是否存在特定注册表键值】

若是被习染系统中存在特定的注册表键值，该勒索病毒不仅通过随机数加密天生器天生加密和解密密钥，用来加密系统中的文件�；够峤绲氖芎φ咝畔⑼ü齈OST发送到C&C服务器，其网络如下信息:
推算机GUID
推算机名
用户名
VIBOROT勒索病毒加密如下扩大名文件:

GA黄金甲·(中国区)官方网站

【VIBOROT加密�？榇虢赝肌�

VIBOROT勒索病毒还拥有键盘纪录职能，其会将纪录的信息发送给C&C服务器，一旦衔接成功，其还会下载恶意的二进造文件，并通过PowerShell执行它。

GA黄金甲·(中国区)官方网站

【VIBOROT键盘纪录职能代码截图】

VIBOROT勒索病毒使用被习染机械的Microsoft Outlook自动向被害者的通讯录发送垃圾邮件，其附件为VIBOROT勒索病毒或者是从C&C服务器下载的恶意文件。

GA黄金甲·(中国区)官方网站

【VIBOROT使用Microsoft Outlook发送垃圾邮件代码截图】

习染该勒索病毒后，其桌面图纸造成如下勒索信息：

【VIBOROT勒索信息截图】

防备步骤

1.不重点击起源不明的邮件以及附件；
2.不重点击邮件中的可疑链接；
3.实时升级系统，打整系统补��；
4.尽量关关不用要的文件共享权限和不用要的端口；

5.请把稳备份沉要文档。备份的最佳做法是采取3-2-1规定，即至少做三个副本，用两种分歧体式保留，并将副本放在异地存储。

IOCs

Hash detected as RANSOM_VIBOROT.THIAHAH (SHA256):
911b25a4d99e65ff920ba0e2ef387653b45789ef4693ef36d95f14c9777a568b
Related malicious URLs:
hxxps://viro(.)mleydier(.)fr
hxxps://viro(.)mleydier(.)fr/noauth/order/
hxxps://viro(.)mleydier(.)fr/noauth/keys/
hxxps://viro(.)mleydier(.)fr/noauth/attachment/

hxxps://viro(.)mleydier(.)fr/noauth/attachment/

参考链接

https://blog.trendmicro.com/trendlabs-security-intelligence/virobot-ransomware-with-botnet-capability-breaks-through/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

新型勒索病毒VIBOROT安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线