Vovalex Ransomware
Bedreigingsscorekaart
EnigmaSoft Threat-scorekaart
EnigmaSoft Threat Scorecards zijn beoordelingsrapporten voor verschillende malwarebedreigingen die zijn verzameld en geanalyseerd door ons onderzoeksteam. EnigmaSoft Threat Scorecards evalueren en rangschikken bedreigingen met behulp van verschillende statistieken, waaronder reële en potentiële risicofactoren, trends, frequentie, prevalentie en persistentie. EnigmaSoft Threat Scorecards worden regelmatig bijgewerkt op basis van onze onderzoeksgegevens en statistieken en zijn nuttig voor een breed scala aan computergebruikers, van eindgebruikers die oplossingen zoeken om malware van hun systemen te verwijderen tot beveiligingsexperts die bedreigingen analyseren.
EnigmaSoft Threat Scorecards geven een verscheidenheid aan nuttige informatie weer, waaronder:
Rangschikking: de rangorde van een bepaalde bedreiging in de bedreigingsdatabase van EnigmaSoft.
Ernstniveau: het vastgestelde ernstniveau van een object, numeriek weergegeven, op basis van ons risicomodelleringsproces en onderzoek, zoals uitgelegd in onze dreigingsbeoordelingscriteria .
Geïnfecteerde computers: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers, zoals gerapporteerd door SpyHunter.
Zie ook Criteria voor dreigingsevaluatie .
| Dreigingsniveau: | 100 % (Hoog) |
| Geïnfecteerde computers: | 75 |
| Eerst gezien: | July 24, 2009 |
| Laatst gezien: | February 3, 2021 |
| Beïnvloede besturingssystemen: | Windows |
Op het eerste gezicht lijkt de Vovalex Ransomware gewoon een andere ransomware-bedreiging. Het valt niet te ontkennen dat het uitzonderlijk bedreigend is, aangezien bijna alle bestanden die zijn opgeslagen op een computer die met de bedreiging is geïnfecteerd, onbruikbaar en ontoegankelijk zullen worden. Slachtoffers worden dan afgeperst voor geld in ruil voor de decoderingssleutel die mogelijk de gecodeerde gegevens zou kunnen herstellen. Wat de Vovalex Ransomware onderscheidt van de rest, is dat het mogelijk de eerste ransomware is die is geschreven in de D-programmeertaal.
Dlang wordt beschreven als een programmeertaal voor algemene doeleinden, maar meer specifiek kan het worden omschreven als een product dat is geïnspireerd door verschillende aspecten van verschillende andere programmeertalen. Het wordt het sterkst beïnvloed door C ++. Omdat Dlang zelden door malwaremakers wordt gebruikt, kan het de aanvallen die verantwoordelijk zijn voor de Vovalex Ransomware een betere kans geven om detectie te vermijden.
Als aanvankelijke compromisvector gebruikt de Vovalex Ransomware illegale versies van legitieme applicaties die gebruikers naar hun computers downloaden. Tot nu toe hebben infosec-onderzoekers waargenomen dat Vovalex is gekoppeld aan het CCleaner Windows-hulpprogramma. Wanneer het gedownloade bestand wordt uitgevoerd, zal een legitiem CCleaner-installatieprogramma worden gestart, maar dit is gewoon een afleiding, omdat de Vovalex Ransomware zichzelf tegelijkertijd naar een willekeurig genoemde locatie in de map% Temp% kopieert.
Wanneer een bestand wordt gecodeerd door de Vovalex Ransomware, wordt '.vovalex' als een nieuwe extensie toegevoegd aan de oorspronkelijke bestandsnaam. Wanneer het coderingsproces is voltooid, zal de dreiging zijn losgeldbriefje op het bureaublad van de geïnfecteerde machine laten vallen, als een tekstbestand met de naam 'README.VOVALEX.txt.' De tekst van de losgeldbrief is zowel in het Engels als in het Russisch geschreven en geeft een duidelijk signaal af waar de beoogde doelen van de dreiging zich bevinden.
Blijkbaar eisen de criminelen achter de Vovalex Ransomware nog steeds om betaald te worden in cryptocurrency-munten, maar in plaats van de bijna universeel gekozen Bitcoin hebben ze besloten een beetje af te wijken door hun slachtoffers te vragen het geld in Monero (XMR) te sturen. Het exacte bedrag dat moet worden overgemaakt, is 0,5 XMR, wat tegen de huidige wisselkoers ongeveer $ 70 is. Betrokken gebruikers zullen dan bewijs moeten leveren voor het voltooien van de transactie die naar het e-mailadres in de losgeldbrief moet worden gestuurd.
Aliassen
15 beveiligingsleveranciers hebben dit bestand als kwaadaardig gemarkeerd.
| Antivirus software | Detectie |
|---|---|
| TrendMicro | WORM_RONTOKBRO.B |
| Symantec | W32.Rontokbro.B@mm |
| Sunbelt | Email-Worm.Win32.Brontok.q |
| Sophos | W32/Brontok-B |
| Prevx1 | High Risk Worm |
| NOD32 | Win32/Brontok.A |
| Microsoft | Worm:Win32/Brontok.FFD |
| McAfee-GW-Edition | Worm.VB.ay.2 |
| McAfee | W32/Rontokbro.b@MM |
| Ikarus | Email-Worm.Win32.Brontok |
| Fortinet | W32/Brontok.A@mm |
| F-Secure | Email-Worm.Win32.Brontok.a |
| eTrust-Vet | Win32/Robknot.DG |
| eSafe | Win32.Rontokbro.b |
| DrWeb | BackDoor.Generic.1138 |
