A sonda conhecida kit de exploração está a distribuir a ransomware Buran, que é uma versão de Vega (VegaLocker) ransomware. Um pesquisador de segurança conhecido como nao_sec foi o primeiro a notar uma campanha de publicidade maliciosa redirecionando os usuários para o EK RIG que então cai o Buran ransomware em sistemas infectados.
O kit de exploração RIG é conhecido por explorar várias vulnerabilidades em suas campanhas de malware associadas. atualmente, a campanha maliciosa está tentando explorar vulnerabilidades via Internet Explorer. Se for bem sucedido, uma série de comandos baixaria o ransomware e o executaria.
Sendo uma nova variante do ransomware VegaLocker, [wplinkpreview url =”https://sensorstechforum.com/buran-ransomware-remove/”] Ransomware Buran usa um processo de criptografia semelhante.
NOTA. Ainda não há um decrypter para Buran, mas tal pode ser lançado em um futuro próximo. Para ser preparado para uma possível criptografia, vítimas do ransomware são aconselhados a fazer um backup do chave HKEY_CURRENT_USER Software Buran Registry, sua nota de resgate, e arquivos criptografados. Estes são necessários para uma possível descriptografia.
O que se sabe sobre Buran Ransomware?
Vamos dar uma olhada em seu processo de criptografia. Uma vez ativado no sistema da vítima, o ransomware iria se copiar para %APPDATA% microsoft windows ctfmon.exe e lançá-lo daquele local. De acordo com a investigação da nao_sec, o ransomware não exclui as cópias do volume de sombra nem desativa o reparo de inicialização automática do Windows. Em vez de, está configurado para iniciar a criptografia imediatamente.
O ransomware Buran também pula certos arquivos de acordo com suas extensões, pastas e nomes de arquivos. Aqui está uma lista das extensões que ele ignora: .cmd, .com, .cpl, .dll, .msc, .msp, .bicanca, .scr, .sys, .registro, .Exe, .buran.
Também é importante observar que o criptovírus é projetado para anexar a ID exclusiva da vítima como uma extensão ao arquivo criptografado.
No 2018, o kit de exploração RIG estava descartando um minerador de criptomoedas como a carga final de uma campanha maliciosa específica. De acordo com a Trend Micro, Os operadores de plataforma adicionaram uma vulnerabilidade particular ao seu arsenal de exploração - CVE-2018-8174, uma falha de execução remota de código.
A vulnerabilidade afetou sistemas que executam o Windows 7 e depois, e usou documentos do Internet Explorer e do Microsoft Office usando o mecanismo de script vulnerável. Curiosamente, a campanha atual da RIG também está aproveitando o Internet Explorer por seu arsenal de vulnerabilidades.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: