RIG kit de exploração tenha sido detectada a propagação ERIS ransomware. Isto significa que o vetor de infecção é baseada simplesmente em uma visita a um site comprometido que faz o download do conteúdo malicioso nos computadores das vítimas.
É curioso mencionar que o mesmo kit de exploração foi usado em junho para distribuir o ransomware Buran, que é uma versão de Vega (VegaLocker) ransomware. Um pesquisador de segurança conhecido como nao_sec foi o primeiro a notar uma campanha de malvertising redirecionando os usuários para o RIG EK, que derrubou o ransomware Buran em sistemas infectados.
Quanto ao ransomware Eris, foi detectado em maio deste ano por Michael Gillespie quando foi submetido ao site ID Ransomware. O ransomware foi recentemente observado pelo pesquisador de segurança nao_sec sendo espalhado pelo kit de exploração RIG em uma campanha de malvertising, o que significa que o número de infecções provavelmente aumentará.
Campanha de Malvertising Usando RIG EK Spreads ERIS Ransomware
De acordo com as observações recentes de nao_sec, há uma campanha de malvertising utilizando a rede de anúncios Popcash que redireciona os usuários para o kit de exploração RIG. Mais tarde na cadeia de infecção, o ataque tentará explorar uma vulnerabilidade do navegador Shockwave. No caso de uma exploração bem-sucedida, O ransomware ERIS é baixado nos computadores das vítimas.
Ransomware ERIS também conhecido como o [wplinkpreview url =”https://sensorstechforum.com/eris-files-virus-remove/”] .Vírus de arquivos ERIS criptografa os arquivos dos usuários e mostra uma nota de ransomware, chamado @ LEIA-ME PARA RECUPERAR ARQUIVOS @ .txt. Você pode ver a nota abaixo:
*** ***
*** LEIA ESTE ARQUIVO COM ATENÇÃO PARA RECUPERAR SEUS ARQUIVOS ***
*** ***
TODOS OS SEUS ARQUIVOS FORAM ENCRIPTADOS POR “ERIS RANSOMWARE”!
USANDO ALGORITMO DE CRIPTOGRAFIA FORTE.
Todos os seus arquivos criptografados com uma chave forte exclusiva usando o algoritmo de criptografia “Salsa20”:
https://en.wikipedia.org/wiki/Salsa20
Que é protegido pelo algoritmo de criptografia RSA-1024:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
cópia de sombra, F8 ou recuva e outros softwares de recuperação não podem ajudá-lo, mas causar danos irreparáveis aos seus arquivos!
Tecnicamente, não há maneira de restaurar seus arquivos sem nossa ajuda.
nós só aceitamos criptomoeda Bitcoin (BTC) como método de pagamento! para custo do serviço de descriptografia.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
Para velocidade e facilidade, use o site localbitcoins para comprar Bitcoin:
https://localbitcoins.com
* OFERECEMOS-LHE 1 DESCRIÇÃO DE ARQUIVO GRATUITO (<1024 KB) WITHOUT ANY COST! TO TRUST OUR HONESTY BEFORE PAYMENT. THE SIMPLE FILES MUST NOT BE ARCHIVED! * YOUR SPECIAL DECRYPTION PRICE IS $825 IN Bitcoin! -----BEGIN ERIS IDENTIFICATION----- =========================================================================================================== [redacted 0x48A bytes in base64] -----END (Decryption Instructions) 1. Send your "ERIS IDENTIFICATION" with one simple of encrypted files (<1024 to our email address: erisfixer@tuta.io 2. Wait for reply from us. (usually some hour) 3. Confirm are decrypted correct and ask us how pay decrypt all files. 4. We will send you payment instructions Bitcoin. 5. You made TXID Bitcoin transfer. 6. After we confirm the payment, soon get decryption package everything back normal. CASE OF FOLLOWING INSTRUCTION, FAST AND EASILY EVERYTHING BACK NORMAL LIKE THAT NEVER HAPPENED! BUT IF YOU USE OTHER METHODS (THAT EVER HELPS) JUST DESTROY FOR GOODNESS! A SMART SAVE FILES! FOOL! =========================================================================================================== >
Cerca de um ano atrás, em junho 2018, invasores estavam comprometendo sites para injetar um script malicioso que redirecionava vítimas em potencial para páginas de destino pertencentes à RIG. Naquela época, pesquisadores de segurança observaram a Rig implementando um minerador de criptomoeda como carga útil final da operação.
De acordo com a Trend Micro, Os operadores da plataforma adicionaram uma vulnerabilidade particular ao seu arsenal de exploração - CVE-2018-8174. A vulnerabilidade afeta sistemas que executam o Windows 7 e depois, e usa documentos do Internet Explorer e Microsoft Office usando o mecanismo de script vulnerável.
Ao que parece, os cibercriminosos continuarão a utilizar o kit de exploração RIG em várias campanhas de disseminação de ransomware, mineiros de criptomoeda e outro malware.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: