第207期安全事件
2019/11/04-2019/11/10
| 英文标题 | Buran Ransomware; the Evolution of VegaLocker |
| 中文标题 | 安全团队发现由 VegaLocker 演变的新勒索软件 Buran |
| 作者及单位 | Alexandre Mundo and Marc Rivero Lopez |
| 内容概述 |
迈克菲高级威胁研究小组观察到在2019年5月出现的新勒索软件家族Buran。Buran由VegaLocker演变形成,作为RaaS(勒 索软件即服务)模式在俄罗斯暗网进行售卖。Buran 通过 Rig 漏洞利用包投送,Rig 漏洞利用包使用 CVE-2018-8174(Microsoft IE VBScript 引擎任意代码执行漏洞)对客户端进行攻击,成功后,将安装 Buran。Buran 使用 Delphi 编写,如果确定系统 位于俄罗斯联邦、白俄罗斯或乌克兰,将以“ ExitProcess”结束任务。目前研究人员已检测到了两个不同的 Buran 版本, 第二版本中新增了几项功能,包括使用 WMI 删除卷影副本、删除备份目录、删除系统中的系统状态备份、使用 ping 命令 通过“ for 循环”来确保文件删除系统等。 |
| 新闻链接 |
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/ |