Trendmicro 研究人员曾预测勒索软件在 2017 年会达到平稳期，但攻击的方式会多样化。2018 年上半年勒索软件活动已经证明了这点。本文分析最近出现的 Viro 僵尸网络，即含有勒索软件的功能又含有僵尸网络的功能，主要影响美国的用户。Viro 僵尸网络感染机器后，会马上变成勒索软件僵尸网络的一部分，通过传播勒索软件来感染更多的机器。Viro 目前尚未发现与已知的勒索软件家族有关联。

感染链

Viro 僵尸网络最早是 2018 年 9 月 17 日发现的，与研究人员发现一起模仿 Locky 勒索软件的变种时隔 7 天。一旦 Viro 僵尸网络下载到受害者机器，后弦会检查注册表来确定系统是否加密。

图 1. Viro 僵尸网络查询机器是否含有加密所需的注册表密钥

然后勒索软件会通过又密码写的随机数生成器（Random Number Generator）生成加密和解密密钥。之后，Viro 僵尸网络会将从机器上收集到的数据与生成的密钥一起通过 POST 发送到 C2f 服务器。

然后开始加密过程。下面的文件会通过 RSA 加密：

图 2. 勒索软件加密的代码段

加密后，会展示勒索信和勒索屏。虽然勒索软件目前影响的是美国的用户，但勒索信却是用法语写的：

图 3. 勒索软件主页

图 4. 勒索信

勒索信中内容翻译过来就是 " 你的文件被加密的了 "。

Viro 僵尸网络还有一个功能就是 keylogging，会将从受害者机器记录的键盘按键发送回 C2 服务器。一旦连接到 C2 服务器，Viro 僵尸网络还会下载文件并用 PowerShell 执行，研究人员怀疑下载的是另一个恶意软件二进制文件。

图 5. Viro 僵尸网络记录按键的代码段

僵尸网络的能力已经通过使用受害者机器的 Outlook 发送垃圾邮件到用户的联系人列表证明了。Viro 僵尸网络会发送一个自身的副本或从 C2 服务器下载的恶意文件。

图 6 Viro 僵尸网络通过用户 Outlook 进行传播的代码段

勒索软件需要与 C2 服务器建立连接来加密文件。但截止目前，恶意软件还不能加密文件，因为僵尸网络的 C2 服务器下线了。

IOC

Hash

911b25a4d99e65ff920ba0e2ef387653b45789ef4693ef36d95f14c9777a568b

URL

hxxps://viro ( . ) mleydier ( . ) fr

hxxps://viro ( . ) mleydier ( . ) fr/noauth/order/

hxxps://viro ( . ) mleydier ( . ) fr/noauth/keys/

hxxps://viro ( . ) mleydier ( . ) fr/noauth/attachment/