Der bekannte RIG Exploit-Kit derzeit Verteilung der Buran Ransomware, Das ist eine Version von Vega (VegaLocker) Ransomware. Ein Sicherheitsforscher als nao_sec bekannt war der Erste, der eine Malvertising Kampagne umleiten Nutzer auf die RIG EK bemerken, die dann die Buran Ransomware auf infizierten Systemen fällt.
Die RIG-Exploit-Kit wurde verschiedene Schwachstellen in seinen zugehörigen Malware-Kampagnen nutzen bekannt. Zur Zeit, die bösartige Kampagne versucht, Sicherheitslücken im Internet Explorer ausnutzt,. wenn erfolgreich, eine Reihe von Befehlen würde die Ransomware herunterladen und dann ausführen.
Als neue Variante der VegaLocker Ransomware, [wplinkpreview url =”https://sensorstechforum.com/buran-ransomware-remove/”] Buran Ransomware verwendet einen ähnlichen Verschlüsselungsprozess.
HINWEIS. Es gibt noch kein Decrypter für Buran aber solche in naher Zukunft veröffentlicht werden. Darauf vorbereitet sein für eine mögliche Verschlüsselung, Opfer des Ransomware wird empfohlen, eine Sicherungskopie der machen HKEY_CURRENT_USER Software Buran Registrierungsschlüssel, ihr Lösegeld, und sie verschlüsselte Dateien. Diese sind für eine mögliche Entschlüsselung benötigt.
Was ist bekannt über Buran Ransomware?
Lassen Sie uns an seinem Verschlüsselungsprozess einen Blick. Einmal auf dem System des Opfers aktiviert, die Ransomware würde kopiert sich auf %APPDATA% Microsoft Windows ctfmon.exe und starten Sie es von diesem Ort. Nach nao_sec Untersuchung, hat die Ransomware nicht Schattenvolumen Kopien löschen noch übernimmt sie die automatische Windows-Starthilfe deaktivieren. Stattdessen, es wird die Verschlüsselung sofort einzuleiten.
Buran Ransomware springt auch bestimmte Dateien nach ihren Erweiterungen, Ordner und Dateinamen. Hier ist eine Liste der Erweiterungen überspringen: .cmd, .mit, .cpl, .usw., .msc, .msp, .pif, .scr, .sys, .Log, .exe, .buran.
Es ist auch wichtig zu beachten, dass die cryptovirus ausgelegt des Opfers eindeutige ID als Erweiterung der verschlüsselten Datei anhängen.
In 2018, die RIG Großtat wurde Kit einen Kryptowährung Bergmann als letzte Nutzlast einer bestimmten bösartigen Kampagne fallen. Laut Trend Micro, Rig Betreiber hinzugefügt, um eine besondere Anfälligkeit für ihre Exploit Arsenal - CVE-2018-8174, eine Remotecodeausführung Fehler.
Die Sicherheitsanfälligkeit betroffenen Systeme mit Windows 7 und später, und es verwendet Internet Explorer und Microsoft Office-Dokumente die verwundbare Script-Engine. seltsam, die aktuelle Kampagne von RIG nutzt auch Internet Explorer für seine Verwundbarkeit Arsenal.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: