A Trend Micro descobriu um novo malware que tem capacidades de ransomware e botnet assim que infeta um sistema.

Foi descoberto pela primeira vez em setembro deste ano, sendo que os especialistas desconhecem que o mesmo esteja associado a quaisquer outras famílias conhecidas de ransomware.

Assim que este malware é colocado na máquina, através por exemplo de um download, verifica a presença de chaves de registo específicas de forma a determinar se os ficheiros no sistema deviam ser encriptados.

Daí, lança um gerador aleatório de números criptográfico de forma a gerar a chave de encriptação e desencriptação, enviando depois os dados da máquina infetada a um servidor C&C (Command and Control) via POST.

O código malicioso almeja os tipos de ficheiros mais populares, como .txt, .docs, .php, .xml, entre outros. Outro aspeto curioso é que quando o ransomware deixa a nota à vítima, o idioma é francês.

A nível de funcionalidades, o Virobot tem um keylogger embutido, através do qual recolhe teclas que o user preme. De forma a aproveitar as capacidades de botnet, o malware usa o Microsoft Outlook da vítima e espalha-se à lista de contactos do utilizador. O que se sabe de momento também é que este servidor de C&C foi mandado abaixo.

Por último, o que os especialistas recomendam de forma a mitigar os riscos inerentes a malwares como este é desenvolver uma abordagem de multi-layer, isto é, uma segurança de diversas camadas.

.