RIG noto exploit kit è attualmente distribuendo il ransomware Buran, che è una versione di Vega (VegaLocker) ransomware. Un ricercatore di sicurezza noto come nao_sec è stato il primo a notare una campagna malvertising reindirizzare gli utenti al EK RIG che poi lascia cadere il ransomware Buran sui sistemi infetti.
RIG exploit kit è stato conosciuto per sfruttare diverse vulnerabilità nelle sue campagne di malware associati. Attualmente, la campagna malintenzionato sta tentando di sfruttare le vulnerabilità tramite Internet Explorer. In caso di successo, una serie di comandi sarebbe scaricare il ransomware e poi eseguirlo.
Essendo una nuova variante di VegaLocker ransomware, [wplinkpreview url =”https://sensorstechforum.com/buran-ransomware-remove/”] Buran ransomware utilizza un processo di crittografia simile.
NOTA. Non esiste ancora una Decrypter per Buran ma tale può essere rilasciato nel prossimo futuro. Per essere pronti ad una eventuale cifratura, vittime del ransomware sono invitati a fare un backup del HKEY_CURRENT_USER Software Buran del Registro di sistema, la loro richiesta di riscatto, e file crittografati. Tali misure sono necessarie per una possibile decrittazione.
Quello che si sa su Buran ransomware?
Diamo uno sguardo al suo processo di crittografia. Una volta attivato il sistema di una vittima, il ransomware stessa sarebbe copiare %APPDATA% Microsoft Windows ctfmon.exe e lanciarlo da quella posizione. Secondo l'indagine di nao_sec, il ransomware non elimina copie shadow di volume né disattivare l'avvio automatico di Windows riparazione. Invece, è impostato per avviare il rettilineo crittografia.
Buran ransomware salta anche alcuni file in base alle loro estensioni, cartelle e nomi di file. Ecco un elenco delle estensioni salta: .cmd, .con, .CPL, .eccetera, .msc, .msp, .pif, .scr, .sys, .ceppo, .exe, .Buran.
E 'anche importante notare che il cryptovirus è stato progettato per aggiungere ID univoco della vittima come estensione per il file crittografato.
In 2018, RIG exploit kit è stato cadendo un minatore criptovaluta come il carico utile finale di una specifica campagna dannoso. Secondo Trend Micro, operatori Rig aggiunto un particolare vulnerabilità al loro sfruttamento arsenale - CVE-2018-8174, un codice remoto esecuzione difetto.
I sistemi di vulnerabilità colpite eseguono Windows 7 e più tardi, e ha usato documenti di Internet Explorer e Microsoft Office utilizzando il motore di script vulnerabile. Curiosamente, l'attuale campagna di RIG è anche sfruttando Internet Explorer per il suo arsenale di vulnerabilità.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: