Den velkendte RIG exploit kittet er i distribuere Buran ransomware, der er en version af Vega (VegaLocker) ransomware. En sikkerhedsekspert kendt som nao_sec var den første til at opdage en malvertising kampagne omdirigere brugere til RIG EK som derefter falder den Buran ransomware på inficerede systemer.
Den RIG exploit sættet har været kendt for at udnytte forskellige svagheder i associerede malware kampagner. I øjeblikket, den ondsindede kampagne forsøger at udnytte sårbarheder via Internet Explorer. Hvis det lykkes, en række kommandoer vil downloade ransomware og derefter udføre det.
At være en ny variant af VegaLocker ransomware, [wplinkpreview url =”https://sensorstechforum.com/buran-ransomware-remove/”] Buran ransomware anvender en lignende krypteringsprocessen.
BEMÆRK. Der er stadig ingen Decrypter til Buran men sådan kan frigives i den nærmeste fremtid. At være forberedt på en mulig kryptering, ofre for ransomware rådes til at lave en backup af HKEY_CURRENT_USER Software Buran Registry nøgle, deres løsesum notat, og de krypterede filer. Disse er nødvendige for en mulig dekryptering.
Hvad ved vi om Buran Ransomware?
Lad os få et kig på dens kryptering proces. Når den er aktiveret på et offer system, den ransomware ville kopiere sig selv til %Appdata% Microsoft Windows Ctfmon.exe og starte det fra den pågældende placering. Ifølge nao_sec undersøgelse, den ransomware sletter ikke skygge volumen kopier heller ikke deaktivere Windows automatisk opstart reparation. I stedet, den er indstillet til at iværksætte den kryptering straks.
Buran ransomware springer også visse filer i henhold til deres udvidelser, mapper og filnavne. Her er en liste over de udvidelser, det springer: .cmd, .med, .cpl, .etc., .msc, .SMV'er, .pif, .scr, .sys, .log, .exe, .Buran.
Det er også vigtigt at bemærke, at cryptovirus er designet til at tilføje ofrets unikt id som en udvidelse til den krypterede fil.
I 2018, den RIG exploit kit slippe en cryptocurrency minearbejder som det endelige nyttelast på en specifik ondsindet kampagne. Ifølge Trend Micro, Rig operatører tilføjet en særlig sårbarhed over for deres udnytte arsenal - CVE-2018-8174, en fjernkode fejl.
Svagheden påvirkede systemer, der kører Windows 7 og senere, og det bruges i Internet Explorer og Microsoft Office-dokumenter ved hjælp af den sårbare script motor. Mærkeligt, den aktuelle kampagne af RIG også udnytte Internet Explorer til dens sårbarhed arsenal.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: