RIG exploit suite bliver nu brugt til at levere en ny Buran kryptering værktøj til brugere

RIG udnytte pakke begyndte at distribuere en hidtil ukendt version af Vega ransomware.

BUran encoder krypterer brugerens filer og indbyder offer for kontakt cyberkriminelle via e-mail til data recovery. Den sikkerhed analytikere har endnu ikke været i stand til at skabe en dekoder til den nye malware og anbefaler ofre kopi løsesum dokumenter, samt poster i registreringsdatabasen skabt af malware.

En ny nyttelast af RIG malware kit blev opdaget af forskerholdet nao_sec, som er specialiseret i sporing udnytte pakninger. Som Internet sikkerhed specialister har fundet ud af, RIG udnytter sårbarheder i Internet Explorer til at levere kryptograf til målenheder. Når på maskinen, Buran kopierer sig selv til mappen med %Appdata% Microsoft Windows Ctfmon.exe, og fortsætter til indkode ofrets oplysninger.

Ifølge analytikere, den nye malware sletter ikke øjebliksbilleder af de mængder,, deaktiverer ikke Windows automatisk genopretning mekanisme, og renser ikke hændelseslogfilerne.

Ransomware koder alle filer på disken, med undtagelse af de genstande i sin stop-liste. Kryptering påvirker ikke filer med de udvidelser, KOM, exe, DLL, SYS, samt nogle andre formater. Desuden, ransomware misser om fyrre mapper, indhold kan forstyrre driften af ​​indretningen.

For den inficerede computer, en unik computer id er skabt, som Buran bruger også som en udvidelse af de ændrede filer. Besked til offeret er indeholdt i et tekstdokument med navnet !!! Dine filer er krypteret !!!. txt. Angribere tilbyde offeret til at kontakte dem via e-mail for at få nøglen, og advarer mod at forsøge at gendanne dataene på eget.

Buran Ransom Note
Buran Ransom Note

Forskere bemærke, at malware skaber i registreringsdatabasen HKEY_CURRENT_USER Software Buran poster, der ligner den offentlige og den private krypteringsnøgle, men det vides ikke, om det er muligt at gendanne kodet information ved hjælp af dem.

RIG er i øjeblikket en af ​​de mest aktive udnytte pakker. Han erstattede Angler, Atomisk og neutrino sæt i 2016. RIG operatører ofte kontrakt til at distribuere ransomware og på forskellige tidspunkter leveret Matrix, Locky, CryptoShield og GandCrab til det ved hjælp af krypteringssoftware.

På trods af det generelle fald i andelen af ​​færdige kits, RIG vises regelmæssigt i synsfeltet for informations- sikkerhed specialister. Så, sidste sommer, han blev spottet i CEIDPageLock rootkit kampagne.

Sidst, men ikke mindst, Sørg for du øve følgende gode online sikkerhed vaner, som i mange tilfælde er de vigtigste trin i alle:

  • Backup, Backup, Backup!
  • Må ikke åbne vedhæftede filer, hvis du ikke ved, hvem der har sendt dem.
  • Åbn ikke vedhæftede filer, før du bekræfter, at personen faktisk sendt dig dem.
  • Scan vedhæftede filer med værktøjer som VirusTotal.
  • Sørg for, at alle Windows opdateringer er installeret, så snart de kommer ud! Sørg også for at opdatere alle programmer, især Java, Blitz, og Adobe Reader. Ældre programmer indeholder sikkerhedshuller, der er almindeligt udnyttes af malware distributører. Derfor er det vigtigt at holde dem opdateret.
  • Sørg for at bruge har en form for sikkerhedssoftware installeret.
  • Brug hårde adgangskoder og aldrig genbruge den samme adgangskode på flere steder.
  • Hvis du bruger Remote Desktop Services, ikke slutte den direkte til internettet. I stedet gør det accessibly kun via en VPN.

Kilde: https://www.bleepingcomputer.com

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

MageCart på Heroku Cloud Platform

Forskere har fundet flere MageCart Web Forplove On Heroku Cloud Platform

Forskere ved Malwarebytes rapporteret om at finde flere MageCart web skummere på Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware masker som en Android chat applikation

Trend Micro eksperter opdagede malware CallerSpy, hvilke masker som en Android chat program og, …

Skriv et svar