El equipo de perforación conocido exploit kit está distribuyendo actualmente la ransomware Buran, que es una versión de Vega (VegaLocker) ransomware. Un investigador de seguridad conocido como nao_sec fue el primero en darse cuenta de una campaña de publicidad maliciosa redirigir a los usuarios a la EK RIG que luego deja caer el ransomware Buran en los sistemas infectados.
El RIG exploit kit se ha sabido explotar varias vulnerabilidades en sus campañas de malware asociados. Actualmente, la campaña maliciosa está tratando de aprovechar las vulnerabilidades a través de Internet Explorer. Si tiene éxito, una serie de comandos sería descargar el ransomware y luego ejecutarlo.
Al ser una nueva variante de VegaLocker ransomware, [wplinkpreview url =”https://sensorstechforum.com/buran-ransomware-remove/”] buran ransomware utiliza un proceso de cifrado similares.
NOTA. Todavía no existe un descifrador de Buran, pero este tipo puede ser puesto en libertad en un futuro próximo. Para estar preparado para un posible cifrado, Se aconseja a las víctimas del ransomware para hacer una copia de seguridad de la HKEY_CURRENT_USER Software Buran Registro, su nota de rescate, y archivos cifrados. Estos son necesarios para un posible descifrado.
Lo que se sabe acerca Buran ransomware?
Vamos a echar un vistazo a su proceso de cifrado. Una vez activado el sistema de la víctima, el ransomware podría copiarse en %APPDATA% Microsoft Windows ctfmon.exe y lanzarlo desde esa ubicación. Según la investigación de nao_sec, el ransomware no elimina las instantáneas de volumen ni desactivar el inicio automático de Windows reparación. En lugar, se establece para iniciar la recta cifrado.
Buran ransomware también se salta ciertos archivos según sus extensiones, carpetas y nombres de archivos. He aquí una lista de las extensiones que se salta: .cmd, .con, .CPL, .etcétera, .msc, .msp, .pif, .scr, .sys, .Iniciar sesión, .exe, .buran.
También es importante tener en cuenta que el cryptovirus está diseñado para anexar el identificador único de la víctima como una extensión al archivo cifrado.
En 2018, el RIG exploit kit caía un minero criptomoneda como la carga útil definitiva de una campaña malintencionado. De acuerdo con Trend Micro, operadores de equipos de perforación añaden una vulnerabilidad particular a su arsenal de explotar - CVE-2.018-8174, una ejecución remota de código falla.
Los sistemas de vulnerabilidad afectados que ejecutan Windows 7 y después, y se utiliza documentos de Internet Explorer y Microsoft Office utilizando el motor de scripts vulnerables. Curiosamente, la actual campaña de la plataforma también está aprovechando Internet Explorer para su arsenal de vulnerabilidad.