Bucbi ransomware wraca z PROW brutalnej siły użyteczności

By in , ,
No comments

images

Jak dobrze wiemy, że Bucbi ransomware został wykryty przez ekspertów bezpieczeństwa i złośliwym naukowców w 2014 roku, ale po dwóch latach nieobecności, wraca z nowym, zaktualizowanym rozwiązanie polegające na zastosowaniu RDP ataki brute force w nim mechanizmu realizacji. Nowo dostrzeżone Przykładowe cechy ransomware Bucbi jest bardzo podobna ze starszymi wersjami. Starsza i nowsza wersja tego szkodnika wykorzystuje funkcję GOST szyfru blokowego.

Ten wariant szkodnika jest zazwyczaj rozłożona na docelowym komputerze poprzez pobranie HTTP oznacza phishing e-mail lub exploit kit, że dostarczane przez brute-zmuszony protokołu Remote Desktop na okładziny internetowej serwerach Windows. Ponadto został zaktualizowany i nie wymaga połączenia z Internetem. Pod koniec marca, kilku badaczy zauważył, że ataki brute force przeprowadzona z pięciu adresów IP, a autor tego złośliwego oprogramowania korzysta z odmian nazwy użytkownika i logowania próbowali ofiary takich jak POS. Tak więc, to jest sugerowane przez Palo Alto Networks, że cyber haker poszukuje się urządzeń POS i zmienia taktykę ataku ukierunkowanego PC. Według badacza z Fox-IT, cybercrooks aktywowane ten wariant szkodnika z zaburzoną serwera zdalnego pulpitu. Raz zainstalowany w komputerze, to spadła plik wykonywalny tym momencie malware badaczowi narzędzia RDP brute force zwanego RDP Brute (kodowane przez z668), który jest używany przez hakerów, aby uzyskać dostęp do urządzenia.

bucbi-rdp-brute-force-utility W tym tygodniu, począwszy od kwietnia, malware badacze stosują przykładową konfigurację biorąc dwa argumenty wiersza poleceń w tym instalacji i deinstalacji. Gdy polecenie zainstalowania jest, tworzy FileServices i usunąć go, gdy polecenie Odinstaluj jest świadczona. Jeśli nie ma żadnego argumentu jest dostarczana przez ciebie następnie automatycznie rozpocznie wykonywanie pierwszej komendy przy założeniu, że usługa jest dostępna. Z wykonywaniem, generuje wiele debugowania wypowiedzi, które zapisywane w nazwach plików dziennika w folderze% ALLUSERPROFILE%.

Bucbi ransomware głównie używa GOST szyfru blokowego w celu wygenerowania unikalnego pliku i angażuje się w tworzenie dwóch kluczowych plików. Zwykle szyfruje wszystkie pliki przechowywane na dyskach lokalnych, z wyjątkiem tych plików, które znajdują się w następującym katalogu – C: \ Windows, C: \ Windows C: \ Program Files (x86), C: \ Program Files itd Oprócz szyfrowania plików , ale również sprawia, że proces szyfrowania zasobów sieciowych i sprawia, zadzwoń do ENEtEnum wyliczyć wszystkich zasobów dyskowych w sieci.

Podobnie jak inne zagrożenia szkodnika, to nie dodaje konkretnego rozszerzenia poprawek do szyfrowania plików. Oznacza to, że po zaszyfrowanie pliku, nadpisywanie na plikach i opuścił je z tą samą nazwą. Po zaszyfrowaniu wszystkich plików, to sprawia, że dane niedostępne i pozostawia procedurę deszyfrowania na ekranie komputera, który korzystał z modyfikacją binarnym. Stwierdzono, że przez naukowców punktu okupu przypisach do “ukraińskiego prawy sektor” z operacji paramilitarnych. Jednak pochodzenie tego szkodnika jest z rosyjskim. Według naukowców, użytkownik może łatwo odzyskać swoje pliki bez płacenia żadnego okupu.

Więcej informacji na stronie – http://www.usunacpcmalware.com/jak-odinstalowac-bucbi-ransomware-odinstalowac-bucbi-ransomware-uzyciu-metoda-krok-po-kroku-usuwania-zlosliwego-oprogramowania

Leave a Reply

Your email address will not be published. Required fields are marked *