Trendmicro研究人员曾预测勒索软件在2017年会达到平稳期，但攻击的方式会多样化。2018年上半年勒索软件活动已经证明了这点。本文分析最近出现的Viro僵尸网络，即含有勒索软件的功能又含有僵尸网络的功能，主要影响美国的用户。Viro僵尸网络感染机器后，会马上变成勒索软件僵尸网络的一部分，通过传播勒索软件来感染更多的机器。Viro目前尚未发现与已知的勒索软件家族有关联。

感染链

Viro僵尸网络最早是2018年9月17日发现的，与研究人员发现一起模仿Locky勒索软件的变种时隔7天。一旦Viro僵尸网络下载到受害者机器，后弦会检查注册表来确定系统是否加密。

图1. Viro僵尸网络查询机器是否含有加密所需的注册表密钥

然后勒索软件会通过又密码写的随机数生成器（Random Number Generator）生成加密和解密密钥。之后，Viro僵尸网络会将从机器上收集到的数据与生成的密钥一起通过POST发送到C2f服务器。

然后开始加密过程。下面的文件会通过RSA加密：

图2. 勒索软件加密的代码段

加密后，会展示勒索信和勒索屏。虽然勒索软件目前影响的是美国的用户，但勒索信却是用法语写的：

图3. 勒索软件主页

图4. 勒索信

勒索信中内容翻译过来就是“你的文件被加密的了”。

Viro僵尸网络还有一个功能就是keylogging，会将从受害者机器记录的键盘按键发送回C2服务器。一旦连接到C2服务器，Viro僵尸网络还会下载文件并用PowerShell执行，研究人员怀疑下载的是另一个恶意软件二进制文件。

图5. Viro僵尸网络记录按键的代码段

僵尸网络的能力已经通过使用受害者机器的Outlook发送垃圾邮件到用户的联系人列表证明了。Viro僵尸网络会发送一个自身的副本或从C2服务器下载的恶意文件。

图6 Viro僵尸网络通过用户Outlook进行传播的代码段

勒索软件需要与C2服务器建立连接来加密文件。但截止目前，恶意软件还不能加密文件，因为僵尸网络的C2服务器下线了。

IOC

Hash   

911b25a4d99e65ff920ba0e2ef387653b45789ef4693ef36d95f14c9777a568b

URL

hxxps://viro(.)mleydier(.)fr

hxxps://viro(.)mleydier(.)fr/noauth/order/

hxxps://viro(.)mleydier(.)fr/noauth/keys/

hxxps://viro(.)mleydier(.)fr/noauth/attachment/

hxxps://viro(.)mleydier(.)fr/noauth/attachment/