RIG sfruttare kit è stato rilevato per diffondere ERIS ransomware. Ciò significa che il vettore di infezione si basa semplicemente sulla visitando un sito Web compromesso, che scarica il payload maligno sui computer delle vittime.
È curioso ricordare che lo stesso exploit kit è stato utilizzato in Giugno distribuire Buran ransomware, che è una versione di Vega (VegaLocker) ransomware. Un ricercatore di sicurezza noto come nao_sec è stato il primo a notare una campagna malvertising reindirizzare gli utenti al EK RIG whichdropped il ransomware Buran sui sistemi infetti.
Per quanto riguarda Eris ransomware, è stato rilevato nel maggio di quest'anno da Michael Gillespie quando è stato sottoposto al sito ransomware ID. Il ransomware è stato recentemente osservato da ricercatore di sicurezza nao_sec essere diffusa dai RIG exploit kit in una campagna malvertising, il che significa che i suoi numeri di infezione sono molto probabilmente ad aumentare.
Campagna malvertising Utilizzando RIG EK Spreads ERIS ransomware
Secondo recenti osservazioni di nao_sec, v'è una campagna malvertising utilizzando la rete ad Popcash che reindirizza gli utenti alla RIG exploit kit. Più tardi lungo la catena di infezione, l'attacco cercherà di sfruttare una vulnerabilità del browser Shockwave. In caso di riuscito exploit, ERIS ransomware viene scaricato sul computer delle vittime.
ERIS ransomware noto anche come [wplinkpreview url =”https://sensorstechforum.com/eris-files-virus-remove/”] .ERIS file Virus crittografa i file degli utenti e mostra una nota ransomware, chiamato @ LEGGIMI per recuperare i file .txt @. È possibile vedere la nota di seguito:
*** ***
*** LEGGERE ATTENTAMENTE FILE PER IL RECUPERO DEI FILE ***
*** ***
Tutti i file sono stati crittografati BY “ERIS ransomware”!
UTILIZZO algoritmo di crittografia forte.
Ogni file crittografati con chiave unica forte utilizzando l'algoritmo di cifratura “Salsa20”:
https://en.wikipedia.org/wiki/Salsa20
Che è protetta da algoritmo di crittografia RSA-1024:
https://en.wikipedia.org/wiki/RSA_(crittografico)
copia shadow, F8 o Recuva e altri software di recupero non può aiutare, ma causare danni irreparabili ai file!
Tecnicamente non c'è modo di ripristinare i file senza il nostro aiuto.
si accettano solo criptovaluta Bitcoin (BTC) come metodo di pagamento! per costo del servizio di decrittazione.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
Per la velocità e facilmente, si prega di utilizzare localbitcoins sito web per l'acquisto di Bitcoin:
https://localbitcoins.com
* TI OFFRIAMO 1 FILE DECRYPTION GRATIS (<1024 KB) WITHOUT ANY COST! TO TRUST OUR HONESTY BEFORE PAYMENT. THE SIMPLE FILES MUST NOT BE ARCHIVED! * YOUR SPECIAL DECRYPTION PRICE IS $825 IN Bitcoin! -----BEGIN ERIS IDENTIFICATION----- =========================================================================================================== [redacted 0x48A bytes in base64] -----END (Decryption Instructions) 1. Send your "ERIS IDENTIFICATION" with one simple of encrypted files (<1024 to our email address: erisfixer@tuta.io 2. Wait for reply from us. (usually some hour) 3. Confirm are decrypted correct and ask us how pay decrypt all files. 4. We will send you payment instructions Bitcoin. 5. You made TXID Bitcoin transfer. 6. After we confirm the payment, soon get decryption package everything back normal. CASE OF FOLLOWING INSTRUCTION, FAST AND EASILY EVERYTHING BACK NORMAL LIKE THAT NEVER HAPPENED! BUT IF YOU USE OTHER METHODS (THAT EVER HELPS) JUST DESTROY FOR GOODNESS! A SMART SAVE FILES! FOOL! =========================================================================================================== >
Circa un anno fa, nel mese di giugno 2018, aggressori sono stati compromettendo i siti web per iniettare uno script dannoso che reindirizzato le potenziali vittime a pagine di destinazione appartenenti a RIG. Allora, ricercatori di sicurezza hanno osservato Rig attuazione di un minatore criptovaluta come payload finale dell'operazione.
Secondo Trend Micro, operatori Rig avevano aggiunto una particolare vulnerabilità al loro sfruttamento arsenale - CVE-2018-8174. La vulnerabilità affligge sistemi che eseguono Windows 7 e più tardi, e utilizza i documenti di Internet Explorer e Microsoft Office utilizzando il motore di script vulnerabile.
Con gli sguardi di esso, i criminali informatici continueranno a utilizzare RIG sfruttare kit in varie campagne di diffusione ransomware, minatori criptovaluta e altro malware.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: