Được gọi là Virobot, mối đe dọa này không chỉ mã hóa các tệp tin trên các máy bị ảnh hưởng mà nó còn khiến cho hệ thống trở thành một botnet spam và làm lây lan sang các máy/hệ thống khác.

Được phát hiện lần đầu vào ngày 17/9/2018, Virobot kiểm tra các máy bị ảnh hưởng để lấy các khóa đăng ký cụ thể để quyết định xem có nên mã hóa hệ thống hay không.

Ransomware này sử dụng một bộ tạo số mã hóa ngẫu nhiên để tạo khóa mã hóa và giải mã, sau đó được gửi cùng với dữ liệu mà máy thu thập được tới máy chủ điều khiển bằng lệnh (C&C) thông qua POST (Phương thức được sữ dụng chủ yếu trong lập trình web).

Để mã hóa, malware nhắm mục tiêu vào các loại tệp tin như: txt, .docx, .xlsx, .pptx, .jpg, .png, .csv, .sql, .mdb, .php, .asp, .xml, .psd, .odt, and .html và các loại tệp tin khác.

Trend Micro  cho biết, khi quá trình mã hóa hoàn tất, malware hiển thị thông báo tiền chuộc và một màn hình đòi tiền chuộc. Thông báo tiền chuộc bằng tiếng Pháp, nhưng malware hiện đang ảnh hưởng tới những người dùng ở Hoa Kỳ

Máy chủ của malware đã bị đánh sập, nghĩa là máy chủ không thể mã hóa các tệp tin được nữa vì để thực hiện được việc này, máy chủ này phải liên lạc với C&C.

Các nhà nghiên cứu bảo mật phát hiện ra rằng Virobot có cả tính năng theo dõi thao tác trên bàn phím (keylogging). Bàn phím bị theo dõi được lưu lại từ máy tính bị ảnh hưởng sau đó được chuyển đến C&C. Khi đã kết nối tới máy chủ, malware cũng tải về những tệp tin như malware nhị phân và thực thi chúng nhờ sử dụng PowerShell.

Những khả năng của botnet Virobot được đóng gói với việc sử dụng một Microsoft Outlook của một máy đã bị lây nhiễm để gửi những email spam tới một danh sách liên hệ của người dùng. Malware hoặc gửi bản sao của chính nó hoặc đoạn payload độc hại đã được tải vể từ máy chủ C&C.

Trend Micro cho biết: “Các cá nhân và doanh nghiệp nên sử dụng phương pháp tiếp cận đa lớp để giảm thiểu rủi ro gây ra bởi các mối đe dọa như ransomware”.