 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
16 апреля, вторник, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Специалисты обнаружили ранее неизвестный вариант вымогателя Vega в арсенале комплекта вредоносных программ.
Эксплойт-пак RIG начал распространять ранее неизвестный вариант вымогателя Vega. Шифровальщик Buran кодирует пользовательские файлы и предлагает жертве связаться с киберпреступниками по электронной почте для восстановления данных. ИБ-аналитики пока не смогли создать декриптор для нового зловреда и рекомендуют пострадавшим создать копии документа с требованием выкупа и записей реестра, созданных вредоносной программой.
Новую полезную нагрузку вредоносного комплекта RIG обнаружила команда исследователей nao_sec, специализирующаяся на отслеживании эксплойт-китов. Как выяснили ИБ-специалисты, чтобы доставить на целевое устройство исполняемый файл шифровальщика, вымогатели используют уязвимости в браузере Internet Explorer. Зловред копирует себя в папку с адресом %APPDATA%\microsoft\windows\ctfmon.exe, после чего приступает к кодированию информации.
По данным аналитиков, Buran не отключает службу теневого копирования томов, не удаляет точки восстановления Windows и не очищает журналы событий операционной системы. Программа-вымогатель кодирует все файлы на диске, за исключением объектов, включенных в ее стоп-лист. Шифрование не затрагивает файлы с расширениями COM, EXE, DLL, SYS, а также некоторые другие типы информации. Кроме того, зловред пропускает около сорока папок, содержимое которых может нарушить работоспособность устройства.
Вымогатель создает уникальный идентификатор компьютера и использует его в качестве расширения измененных файлов. Buran оставляет послание жертве в текстовом документе с именем !!! your files are encrypted !!!.txt. Злоумышленники предлагают пострадавшему связаться с ними по электронной почте, чтобы получить декриптор, и предостерегают его от попыток восстановить данные самостоятельно.
Исследователи отмечают, что вредоносная программа создает в реестре HKEY_CURRENT_USER\Software\Buran записи, похожие на публичный и секретный ключ шифрования, однако неизвестно, можно ли с их помощью восстановить закодированную информацию.
RIG считается относительно молодым набором вредоносных программ. Он пришел на смену комплектам Angler, Nuclear, Neutrino в 2016 году. Создатели эксплойт-пака специализируются на шифровальщиках и в разное время доставляли с его помощью вымогатели Matrix, Locky, CryptoShield и GandCrab. Несмотря на общее снижение доли готовых наборов, RIG регулярно появляется в поле зрения ИБ-специалистов. Так, летом прошлого года он был замечен в кампании по распространению руткита CEIDPageLock.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
