有名なRIGエクスプロイトキットは現在、Buranランサムウェアを配布しています, これはVegaのバージョンです (VegaLocker) ランサムウェア. nao_secとして知られるセキュリティ研究者は、ユーザーをRIGEKにリダイレクトするマルバタイジングキャンペーンに最初に気づき、感染したシステムにBuranランサムウェアをドロップしました。.
RIGエクスプロイトキットは、関連するマルウェアキャンペーンのさまざまな脆弱性を悪用することが知られています. 現在, 悪意のあるキャンペーンがInternetExplorerを介して脆弱性を悪用しようとしています. 成功した場合, 一連のコマンドはランサムウェアをダウンロードして実行します.
VegaLockerランサムウェアの新しい亜種であること, [wplinkpreview url =”https://Sensorstechforum.com/buran-ransomware-remove/”] ブランランサムウェア 同様の暗号化プロセスを使用します.
ノート. ブランの解読機はまだありませんが、近い将来リリースされる可能性があります. 可能な暗号化に備えるため, ランサムウェアの被害者は、バックアップを作成することをお勧めします HKEY_CURRENT_USER SoftwareBuranレジストリキー, 彼らの身代金メモ, そして彼らはファイルを暗号化しました. これらは、可能な復号化に必要です.
ブランランサムウェアについて知られていること?
その暗号化プロセスを見てみましょう. 被害者のシステムでアクティブ化されると, ランサムウェアは自分自身をにコピーします %APPDATA% microsoft windows ctfmon.exe その場所から起動します. nao_secの調査によると, ランサムウェアはシャドウボリュームのコピーを削除せず、Windowsの自動起動修復を無効にしません. その代わり, すぐに暗号化を開始するように設定されています.
Buranランサムウェアも、拡張子に応じて特定のファイルをスキップします, フォルダとファイル名. スキップする拡張機能のリストは次のとおりです: .cmd, .com, .cpl, .dll, .msc, .msp, .pif, .scr, .sys, .ログ, .EXE, .ブラン.
暗号ウイルスは、暗号化されたファイルの拡張子として被害者の一意のIDを追加するように設計されていることに注意することも重要です。.
の 2018, RIGエクスプロイトキットは、特定の悪意のあるキャンペーンの最終的なペイロードとして暗号通貨マイナーをドロップしていました. トレンドマイクロによると, リグオペレーターは、エクスプロイトアーセナルに特定の脆弱性を追加しました– CVE-2018-8174, リモートコード実行の欠陥.
この脆弱性は、Windowsを実行しているシステムに影響を及ぼしました 7 以降, 脆弱なスクリプトエンジンを使用してInternetExplorerとMicrosoftOfficeのドキュメントを使用しました. 不思議なことに, RIGの現在のキャンペーンでは、脆弱性の武器としてInternetExplorerも活用しています。.