RIG kit de explotación se ha detectado a extenderse ERIS ransomware. Esto significa que el vector de infección se basa simplemente en visitar un sitio web comprometido que descarga la carga útil malicioso en los ordenadores de las víctimas.
Es curioso mencionar que la misma hazaña se utilizó kit en junio para distribuir Buran ransomware, que es una versión de Vega (VegaLocker) ransomware. Un investigador de seguridad conocido como nao_sec fue el primero en darse cuenta de una campaña de publicidad maliciosa redirigir a los usuarios a la EK RIG whichdropped el ransomware Buran en los sistemas infectados.
En cuanto a Eris ransomware, se detectó en mayo de este año por Michael Gillespie cuando se presentó a la ransomware ID del sitio. El ransomware se observó recientemente por el investigador de seguridad nao_sec siendo difundida por RIG explotar kit en una campaña de publicidad maliciosa, lo que significa que sus números de infección son muy probable que aumente.
Campaña de publicidad maliciosa Usando EK RIG se propaga ERIS ransomware
De acuerdo con las observaciones recientes de nao_sec, hay una campaña de publicidad maliciosa utilización de la red ad Popcash que redirige a los usuarios a la plataforma explotan kit. Más adelante en la cadena de infección, el ataque va a tratar de aprovechar una vulnerabilidad del navegador Shockwave. En caso de un ataque exitoso, ERIS ransomware es descargado en los ordenadores de las víctimas.
ERIS ransomware también conocido como el [wplinkpreview url =”https://sensorstechforum.com/eris-files-virus-remove/”] .Virus ERIS Archivos encripta los archivos de los usuarios y muestra una nota ransomware, @ llamada READ ME para recuperar archivos .txt @. Se puede ver en la siguiente nota:
*** ***
*** LEA ATENTAMENTE ESTE ARCHIVO A LA RECUPERACIÓN DE LOS ARCHIVOS ***
*** ***
TODOS SUS archivos han sido cifrados por “ERIS ransomware”!
Utilizando el algoritmo de cifrado fuerte.
Cada sus archivos cifrados con la clave única fuerte usando el algoritmo de cifrado “Salsa20”:
https://en.wikipedia.org/wiki/Salsa20
Que está protegida por el algoritmo de cifrado RSA-1024:
https://en.wikipedia.org/wiki/RSA_(criptosistema)
de instantáneas, softwares de recuperación F8 o Recuva y otros no pueden ayudarle, pero causar daños irreparables a sus archivos!
Técnicamente no hay manera de restaurar sus archivos sin nuestra ayuda.
Sólo se aceptan criptomoneda Bitcoin (BTC) como método de pago! para el costo del servicio de descifrado.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
Para la velocidad y facilidad, por favor utilice localbitcoins página web para la compra de Bitcoin:
https://localbitcoins.com
* TE OFRECEMOS 1 GRATIS DESCIFRADO ARCHIVO (<1024 KB) WITHOUT ANY COST! TO TRUST OUR HONESTY BEFORE PAYMENT. THE SIMPLE FILES MUST NOT BE ARCHIVED! * YOUR SPECIAL DECRYPTION PRICE IS $825 IN Bitcoin! -----BEGIN ERIS IDENTIFICATION----- =========================================================================================================== [redacted 0x48A bytes in base64] -----END (Decryption Instructions) 1. Send your "ERIS IDENTIFICATION" with one simple of encrypted files (<1024 to our email address: erisfixer@tuta.io 2. Wait for reply from us. (usually some hour) 3. Confirm are decrypted correct and ask us how pay decrypt all files. 4. We will send you payment instructions Bitcoin. 5. You made TXID Bitcoin transfer. 6. After we confirm the payment, soon get decryption package everything back normal. CASE OF FOLLOWING INSTRUCTION, FAST AND EASILY EVERYTHING BACK NORMAL LIKE THAT NEVER HAPPENED! BUT IF YOU USE OTHER METHODS (THAT EVER HELPS) JUST DESTROY FOR GOODNESS! A SMART SAVE FILES! FOOL! =========================================================================================================== >
Hace un año, en junio 2018, atacantes estaban comprometiendo sitios web para inyectar un script malicioso que redirigido víctimas potenciales a páginas de destino que pertenece a RIG. En aquel momento, los investigadores de seguridad observaron Rig implementación de un minero criptomoneda como la carga útil final de la operación.
De acuerdo con Trend Micro, operadores de equipos de perforación habían añadido una vulnerabilidad particular a su arsenal de explotar - CVE-desde 2.018 hasta 8174. La vulnerabilidad afecta a los sistemas que ejecutan Windows 7 y después, y utiliza Internet Explorer y Microsoft Office documentos utilizando el motor de scripts vulnerables.
Por lo que se ve, cibercriminales seguirán utilizando RIG kit explotar en diversas campañas de difusión ransomware, criptomoneda mineros y otros programas maliciosos.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: