Pas: RIG Exploit Kit øjeblikket droppe Buran Ransomware
CYBER NEWS

Pas: RIG Exploit Kit øjeblikket droppe Buran Ransomware

Den velkendte RIG exploit kittet er i distribuere Buran ransomware, der er en version af Vega (VegaLocker) ransomware. En sikkerhedsekspert kendt som nao_sec var den første til at opdage en malvertising kampagne omdirigere brugere til RIG EK som derefter falder den Buran ransomware på inficerede systemer.




Den RIG exploit sættet har været kendt for at udnytte forskellige svagheder i associerede malware kampagner. I øjeblikket, den ondsindede kampagne forsøger at udnytte sårbarheder via Internet Explorer. Hvis det lykkes, en række kommandoer vil downloade ransomware og derefter udføre det.

At være en ny variant af VegaLocker ransomware,

Buran ransomware anvender en lignende krypteringsprocessen.

BEMÆRK. Der er stadig ingen Decrypter til Buran men sådan kan frigives i den nærmeste fremtid. At være forberedt på en mulig kryptering, ofre for ransomware rådes til at lave en backup af HKEY_CURRENT_USER Software Buran Registry nøgle, deres løsesum notat, og de krypterede filer. Disse er nødvendige for en mulig dekryptering.

Hvad ved vi om Buran Ransomware?

Lad os få et kig på dens kryptering proces. Når den er aktiveret på et offer system, den ransomware ville kopiere sig selv til %Appdata% Microsoft Windows Ctfmon.exe og starte det fra den pågældende placering. Ifølge nao_sec undersøgelse, den ransomware sletter ikke skygge volumen kopier heller ikke deaktivere Windows automatisk opstart reparation. I stedet, den er indstillet til at iværksætte den kryptering straks.

Buran ransomware springer også visse filer i henhold til deres udvidelser, mapper og filnavne. Her er en liste over de udvidelser, det springer: .cmd, .med, .cpl, .etc., .msc, .SMV'er, .pif, .scr, .sys, .log, .exe, .Buran.

Det er også vigtigt at bemærke, at cryptovirus er designet til at tilføje ofrets unikt id som en udvidelse til den krypterede fil.

Relaterede: CVE-2018-8174 Sårbarhed Anvendes af Rig Exploit Kit.

I 2018, den RIG exploit kit slippe en cryptocurrency minearbejder som det endelige nyttelast på en specifik ondsindet kampagne. Ifølge Trend Micro, Rig operatører tilføjet en særlig sårbarhed over for deres udnytte arsenal - CVE-2018-8174, en fjernkode fejl.

Svagheden påvirkede systemer, der kører Windows 7 og senere, og det bruges i Internet Explorer og Microsoft Office-dokumenter ved hjælp af den sårbare script motor. Mærkeligt, den aktuelle kampagne af RIG også udnytte Internet Explorer til dens sårbarhed arsenal.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...