De bekende RIG exploit kit is momenteel de distributie van de Buran ransomware, dat is een versie van Vega (VegaLocker) ransomware. Een security-onderzoeker bekend als nao_sec was de eerste die een malvertising campagne omleiden van gebruikers naar de RIG EK, die vervolgens daalt de Buran ransomware op geïnfecteerde systemen merken.
De RIG exploit kit bekend diverse kwetsbaarheden in de bijbehorende malwarecampagnes. Momenteel, de kwaadaardige campagne probeert om kwetsbaarheden via Internet Explorer misbruik. Indien succesvol, een reeks van commando's zou de ransomware downloaden en vervolgens voer het uit.
Omdat het een nieuwe variant van VegaLocker ransomware, [wplinkpreview url =”https://sensorstechforum.com/buran-ransomware-remove/”] Buran ransomware maakt gebruik van een soortgelijke encryptie proces.
NOTE. Er is nog steeds geen decrypter voor Buran, maar zodanig kunnen worden uitgebracht in de nabije toekomst. Om voorbereid te zijn op een mogelijke encryptie, slachtoffers van de ransomware wordt geadviseerd om een back-up van het maken HKEY_CURRENT_USER Software Buran registersleutel, hun losgeld nota, en ze gecodeerde bestanden. Deze zijn nodig voor een mogelijke decryptie.
Wat is bekend over Buran Ransomware?
Laten we eens kijken naar de encryptie-proces. Eenmaal geactiveerd op het systeem van een slachtoffer, de ransomware zou zelf om te kopiëren %APPDATA% Microsoft Windows ctfmon.exe en start het vanaf die locatie. Volgens onderzoek nao_sec's, de ransomware niet schaduw volume kopieën te verwijderen en ook niet uitschakelen het automatisch opstarten reparatie Windows. Plaats, deze is ingesteld om de encryptie meteen te starten.
Buran ransomware slaat ook bepaalde bestanden op basis van hun extensies, mappen en bestandsnamen. Hier is een lijst van de extensies worden overgeslagen: .cmd, .met, .cpl, .etc., .msc, .msp, .pif, .scr, .sys, .logboek, .exe, .Buran.
Het is ook belangrijk om op te merken dat de cryptovirus is ontworpen om het slachtoffer unieke ID te voegen als een uitbreiding van het versleuteld bestand.
In 2018, de RIG exploit kit werd laten vallen van een cryptogeld mijnwerker als de laatste payload van een specifieke kwaadaardige campagne. Volgens Trend Micro, Rig exploitanten een bijzondere kwetsbaarheid toegevoegd aan hun exploiteren arsenaal - CVE-2018-8174, een externe code fout.
De kwetsbaarheid getroffen systemen met Windows 7 en later, en het gebruikt Internet Explorer en Microsoft Office-documenten met de kwetsbare script engine. nieuwsgierig, de huidige campagne van RIG wordt ook gebruik te maken van Internet Explorer voor de kwetsbaarheid ervan arsenal.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: