Le RIG bien connu kit exploit distribue actuellement le ransomware Bourane, qui est une version de Vega (VegaLocker) ransomware. Un chercheur de sécurité connu sous le nom nao_sec a été le premier à remarquer une campagne de malvertising rediriger les utilisateurs vers l'EK RIG qui tombe alors le ransomware Bourane sur les systèmes infectés.
Le kit RIG exploit a été connu pour exploiter diverses vulnérabilités dans ses campagnes de logiciels malveillants associés. Actuellement, la campagne malveillante tente d'exploiter les vulnérabilités via Internet Explorer. En cas de succès, une série de commandes téléchargeriez ransomware puis l'exécuter.
Être une nouvelle variante de VegaLocker ransomware, [wplinkpreview url =”https://sensorstechforum.com/buran-ransomware-remove/”] Bourane ransomware utilise un processus de cryptage similaire.
REMARQUE. Il n'y a pas encore décrypteur pour Bourane mais tel peut être libéré dans un proche avenir. Pour être prêt pour un cryptage possible, victimes du ransomware sont invités à faire une sauvegarde de la HKEY_CURRENT_USER Software Bourane Registre, leur demande de rançon, et ils fichiers chiffrés. Ceux-ci sont nécessaires pour un décryptage possible.
Que sait-on Bourane Ransomware?
Jetons un coup d'œil à son processus de cryptage. Une fois activé sur le système de la victime, le ransomware serait lui-même à copier %APPDATA% microsoft windows ctfmon.exe et le lancer à partir de cet endroit. Selon l'enquête de nao_sec, le ransomware ne supprime pas les copies de volumes d'ombre ni ne désactive la réparation de démarrage automatique de Windows. Plutôt, il est configuré pour lancer la ligne droite de chiffrement.
Bourane ransomware certains fichiers permet aussi d'éviter en fonction de leurs extensions, dossiers et noms de fichiers. Voici une liste des extensions il saute: .cmd, .avec, .cpl, .etc., .msc, .msp, .pif, .scr, .sys, .bûche, .exe, .Bourane.
Il est également important de noter que le cryptovirus est conçu pour ajouter comme une extension au fichier crypté ID unique de la victime.
Dans 2018, le kit RIG exploit chutait un mineur de la charge utile comme crypto-monnaie finale d'une campagne malveillante spécifique. Selon Trend Micro, opérateurs Rig ont ajouté une vulnérabilité particulière à leur exploitation arsenal - CVE-2018-8174, un défaut d'exécution de code à distance.
La vulnérabilité des systèmes affectés sous Windows 7 et ensuite, et utilisé Internet Explorer et les documents Microsoft Office en utilisant le moteur de script vulnérable. Avec curiosité, la campagne actuelle de RIG tire également parti d'Internet Explorer pour son arsenal de vulnérabilité.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: