Эксплойт-пак RIG начал распространять ранее неизвестный вариант вымогателя Vega. Шифровальщик Buran кодирует пользовательские файлы и предлагает жертве связаться с киберпреступниками по электронной почте для восстановления данных. ИБ-аналитики пока не смогли создать декриптор для нового зловреда и рекомендуют пострадавшим на всякий случай скопировать документы с требованием выкупа, а также записи реестра, созданные вредоносной программой.

Новую полезную нагрузку вредоносного комплекта RIG обнаружила команда исследователей nao_sec, специализирующаяся на отслеживании эксплойт-паков. Как выяснили ИБ-специалисты, для доставки на целевые устройства шифровальщика RIG использует уязвимости в браузере Internet Explorer. Оказавшись на машине, Buran копирует себя в папку с адресом %APPDATA%\microsoft\windows\ctfmon.exe, после чего приступает к кодированию информации жертвы.

По данным аналитиков, новый зловред не удаляет теневые копии томов, не отключает механизм автоматического восстановления Windows и не чистит журналы событий. Вымогатель кодирует все файлы на диске, за исключением объектов, включенных в его стоп-лист. Шифрование не затрагивает файлы с расширениями COM, EXE, DLL, SYS, а также некоторые другие форматы. Кроме того, зловред пропускает около сорока папок, содержимое которых может нарушить работоспособность устройства.

Для зараженного компьютера создается уникальный идентификатор компьютера, который Buran также использует в качестве расширения измененных файлов. Послание жертве содержится в текстовом документе с именем !!! your files are encrypted !!!.txt. Злоумышленники предлагают пострадавшему связаться с ними по электронной почте, чтобы получить декриптор, и предостерегают его от попыток восстановить данные самостоятельно.

Исследователи отмечают, что вредоносная программа создает в реестре HKEY_CURRENT_USER\Software\Buran записи, похожие на публичный и секретный ключ шифрования, однако неизвестно, можно ли с их помощью восстановить закодированную информацию.

RIG в настоящее время является одним из наиболее активных эксплойт-паков. Он пришел на смену наборам Angler, Nuclear и Neutrino в 2016 году. Операторы RIG зачастую подряжаются распространять вымогательское ПО и в разное время доставляли с его помощью шифровальщиков Matrix, Locky, CryptoShield и GandCrab. Несмотря на общее снижение доли готовых наборов, RIG регулярно появляется в поле зрения ИБ-специалистов. Так, летом прошлого года он был замечен в кампании по распространению руткита CEIDPageLock.

Категории: Аналитика, Вредоносные программы, Уязвимости