Το ransomware ERIS εντοπίστηκε πρώτη φορά το Μάιο του 2019 από τον Michael Gillespie. Τότε δεν υπήρχε κάποιο δείγμα του λογισμικού. Το Σαββατοκύριακο, ο ερευνητής, με το όνομα (στο Twitter) nao_sec, ο οποίος ασχολείται με τα exploit kit, ανακάλυψε ότι το ransomware εξαπλώνεται μέσω μιας malvertising εκστρατείας, που χρησιμοποιεί το RIG exploit kit.
Σύμφωνα με τον ερευνητή nao_sec, η malvertising εκστρατεία, χρησιμοποιεί το popcash ad network και ανακατευθύνει τους χρήστες στο RIG exploit kit, όπως φαίνεται και παρακάτω:
Στη συνέχεια το kit θα προσπαθήσει να εκμεταλλευτεί μια ευπάθεια Shockwave (SWF) στο πρόγραμμα περιήγησης. Αν τα καταφέρει, θα πραγματοποιήσει αυτόματη λήψη και εγκατάσταση του ERIS Ransomware στον ευάλωτο υπολογιστή.
ERIS Ransomware
Από τη στιγμή, που γίνεται εγκατάσταση του ERIS Ransomware, το κακόβουλο λογισμικό κρυπτογραφεί τα αρχεία του θύματος και προσθέτει την επέκταση .ERIS, όπως φαίνεται στην παρακάτω εικόνα.
Τα αρχεία, που έχουν κρυπτογραφηθεί, περιέχουν μια ένδειξη, που λέει “FLAG_ENCRYPTED”. Αυτό βρίσκεται στο τέλος του αρχείου και δείχνει, ουσιαστικά, ότι το συγκεκριμένο αρχείο είναι κρυπτογραφημένο από το ransomware.
Το ransomware δημιουργεί, επίσης, ένα σημείωμα με το όνομα @ READ ME TO RECOVER FILES @ .txt, το οποίο ζητά από το χρήστη-θύμα να έρθει σε επικοινωνία με το Limaooo@cock.li, όπου θα λάβει οδηγίες για τον τρόπο πληρωμής. Σε αυτό το σημείωμα περιλαμβάνεται και ένα μοναδικό ID, το οποίο πρέπει να στείλει το θύμα στον προγραμματιστή του ransomware. Αυτό θα επιτρέψει να γίνει μια δωρεάν δοκιμαστική αποκρυπτογράφηση ενός μόνο αρχείου.
Προς το παρόν, δεν υπάρχει τρόπος να αποκρυπτογραφήσετε δωρεάν τα αρχεία, που έχουν επηρεαστεί από το ERIS ransomware.