CryptoSheild Infection par RIG Exploit Kit

RIG exploite Kit a été récemment remarqué de répandre une nouvelle variante du ransomware nommé CryptoSheild. Les cyber-criminels associés sont à l’aide de régime de publicité de logiciels malveillants et les sites Web compromis afin de faire circuler la charge utile du CrytoSheild. Crytpshield sont les descendantes de CryptoMix et a été découvert par Kafeine, chercheurs bien connus de PC. Le EIText (campagne de publicité de malware) injecte le code de java-script dans les publicités qui crient pour ransomware charge utile.

Notre équipe de recherche a conclu que les Cryptoshield crée une unique ID et clé de cryptage pour chaque machine ciblée et crypte les fichiers stockés dans son disque. L’extension des fichiers cryptés est remplacée par. Extension de Cryptosheild. Une fois la victime visites le site infecté ou la page Web Hébergement les publicités malveillantes, le poste de travail automatiquement être infecté. Deux fenêtres pop-up se produisent consécutivement. L’un est une erreur d’application tandis que l’autre est une invite contrôle de compte utilisateur Windows. Elle est suivie d’un fichier texte portant sur l’écran qui contient les instructions de paiement et le déchiffrement.

Il a été identifié deux RIG exploiter Kit IP adresses et domaines (194 [..] 87 [..] 93 [..]53 pour nécessité [..] southpadreforsale […] com et 194 [..] 87 [..] 93 [..] 53 pour star [..] southpadrefishingguide […] com), ainsi que 45 [..] 63 [..] 115 [..] 214 pour la communication après l’infection de CryptoShield. Très probablement, l’adresse IP et les domaines associés aux changements de trafic RIG régulièrement. Le Cryptoshiled utilisez RIG au lieu de campagne Courriel base commune pour faire circuler sur Internet. Il y a plusieurs exploit kit active comme « RIG EK », « Magnitude », « Sundown » etainsi de suite.