RIG exploit kit is gedetecteerd aan ERIS ransomware verspreiden. Dit betekent dat de infectie vector is gewoon gebaseerd op het bezoeken van een gecompromitteerde website die de kwaadaardige lading op de computers van slachtoffers downloadt.
Het is merkwaardig om te vermelden dat dezelfde exploit kit werd gebruikt in juni tot Buran ransomware distribueren, dat is een versie van Vega (VegaLocker) ransomware. Een security-onderzoeker bekend als nao_sec was de eerste die een malvertising campagne omleiden van gebruikers naar de RIG EK merken whichdropped de Buran ransomware op geïnfecteerde systemen.
Zoals voor Eris ransomware, Het werd ontdekt in mei van dit jaar door Michael Gillespie als het om de ID Ransomware site is ingediend. De ransomware werd recent waargenomen door security-onderzoeker nao_sec wordt verspreid door RIG exploit kit in een malvertising campagne, Dit betekent dat zij een infectie cijfers zijn zeer waarschijnlijk stijgen.
Malvertising campagne met behulp van RIG EK Spreads ERIS Ransomware
Volgens nao_sec's recente waarnemingen, er is een malvertising campagne gebruik maakt van de Popcash advertentie netwerk dat leidt gebruikers naar de RIG exploit kit. Later beneden de infectie keten, de aanval zal proberen om een kwetsbaarheid Shockwave browser exploit. In geval van een succesvolle exploit, ERIS ransomware wordt gedownload op computers van slachtoffers.
ERIS ransomware ook bekend als [wplinkpreview url =”https://sensorstechforum.com/eris-files-virus-remove/”] .ERIS Files Virus versleutelt bestanden van gebruikers en toont een ransomware noot, genaamd @ READ ME om bestanden te herstellen @ .txt. U kunt de notitie hieronder:
*** ***
*** LEES DIT BESTAND ZORGVULDIG OM HERSTEL VAN UW BESTANDEN ***
*** ***
Al uw bestanden versleuteld zijn DOOR “ERIS ransomware”!
Het gebruik van sterke encryptie-algoritme.
Elke uw bestanden versleuteld met unieke sterke sleutel met behulp van “Salsa20” encryptie-algoritme:
https://en.wikipedia.org/wiki/Salsa20
Die wordt beschermd door RSA-1024 encryptiealgoritme:
https://en.wikipedia.org/wiki/RSA_(cryptosysteem)
shadow copy, F8 of Recuva en andere recovery software kan je niet helpen, maar onherstelbare schade aan uw bestanden!
Technisch gezien geen manier om uw bestanden te herstellen zonder onze hulp.
we accepteren alleen cryptogeld Bitcoin (BTC) als betalingswijze! voor de kosten van de decryptie dienst.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
Voor snelheid en gemakkelijk, Gebruik localbitcoins website Bitcoin kopen:
https://localbitcoins.com
* WE BIEDEN U 1 Free File decryptie (<1024 KB) WITHOUT ANY COST! TO TRUST OUR HONESTY BEFORE PAYMENT. THE SIMPLE FILES MUST NOT BE ARCHIVED! * YOUR SPECIAL DECRYPTION PRICE IS $825 IN Bitcoin! -----BEGIN ERIS IDENTIFICATION----- =========================================================================================================== [redacted 0x48A bytes in base64] -----END (Decryption Instructions) 1. Send your "ERIS IDENTIFICATION" with one simple of encrypted files (<1024 to our email address: erisfixer@tuta.io 2. Wait for reply from us. (usually some hour) 3. Confirm are decrypted correct and ask us how pay decrypt all files. 4. We will send you payment instructions Bitcoin. 5. You made TXID Bitcoin transfer. 6. After we confirm the payment, soon get decryption package everything back normal. CASE OF FOLLOWING INSTRUCTION, FAST AND EASILY EVERYTHING BACK NORMAL LIKE THAT NEVER HAPPENED! BUT IF YOU USE OTHER METHODS (THAT EVER HELPS) JUST DESTROY FOR GOODNESS! A SMART SAVE FILES! FOOL! =========================================================================================================== >
Ongeveer een jaar geleden, in juni 2018, aanvallers werden websites afbreuk te doen aan een kwaadaardig script dat potentiële slachtoffers worden doorgestuurd naar landingspagina's die behoren tot RIG injecteren. Toen, security onderzoekers waargenomen Rig uitvoering van een cryptogeld mijnwerker als de laatste lading van de operatie.
Volgens Trend Micro, Rig exploitanten had een bijzondere kwetsbaarheid toegevoegd aan hun exploiteren arsenaal - CVE-2018-8174. De kwetsbaarheid van invloed op systemen met Windows 7 en later, en maakt gebruik van Internet Explorer en Microsoft Office-documenten met de kwetsbare script engine.
Door de blikken van het, cybercriminelen zal blijven RIG exploit kit in diverse campagnes verspreiden ransomware gebruiken, cryptogeld mijnwerkers en andere malware.