Ryuk āĻāĻ¤ āĻāĻ¯āĻŧā§āĻ āĻŦāĻāĻ°ā§ āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻŦāĻŋāĻā§āĻ¯āĻžāĻ¤ ransomware āĻŦāĻŋāĻāĻ˛ā§āĻĒāĻā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻāĻāĻŋāĨ¤ āĻ¯ā§āĻšā§āĻ¤ā§ āĻāĻāĻŋ āĻĒā§āĻ°āĻĨāĻŽ 2018 āĻ¸āĻžāĻ˛ā§āĻ° āĻā§āĻ°ā§āĻˇā§āĻŽā§ āĻĒā§āĻ°āĻĻāĻ°ā§āĻļāĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛, āĻāĻāĻŋ āĻ¸āĻāĻā§āĻ°āĻš āĻāĻ°ā§āĻā§
1. āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻ¤āĻĨā§āĻ¯
āĻāĻ āĻ¨āĻĨāĻŋāĻ¤ā§ Ryuk ransomware āĻā§āĻ°āĻŋāĻ¯āĻŧā§āĻ¨ā§āĻā§āĻ° āĻāĻāĻāĻŋ āĻŦāĻŋāĻļā§āĻ˛ā§āĻˇāĻŖ āĻ°āĻ¯āĻŧā§āĻā§, āĻ¸ā§āĻāĻ¸āĻžāĻĨā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻŽā§āĻ¯āĻžāĻ˛āĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻ˛ā§āĻĄ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĻāĻžāĻ¯āĻŧā§ āĻ˛ā§āĻĄāĻžāĻ°āĨ¤
Ryuk ransomware āĻĒā§āĻ°āĻĨāĻŽ 2018 āĻ¸āĻžāĻ˛ā§āĻ° āĻā§āĻ°ā§āĻˇā§āĻŽā§ āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤ Ryuk āĻāĻŦāĻ āĻ āĻ¨ā§āĻ¯āĻžāĻ¨ā§āĻ¯ ransomware āĻāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻĒāĻžāĻ°ā§āĻĨāĻā§āĻ¯āĻā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻāĻāĻŋ āĻšāĻ˛ āĻāĻāĻŋ āĻāĻ°ā§āĻĒā§āĻ°ā§āĻ āĻĒāĻ°āĻŋāĻŦā§āĻļā§ āĻāĻā§āĻ°āĻŽāĻŖ āĻāĻ°āĻžāĻ° āĻ˛āĻā§āĻˇā§āĻ¯ā§āĨ¤
2019 āĻ¸āĻžāĻ˛ā§āĻ° āĻŽāĻžāĻāĻžāĻŽāĻžāĻāĻŋ āĻ¸āĻŽāĻ¯āĻŧā§, āĻ¸āĻžāĻāĻŦāĻžāĻ° āĻ āĻĒāĻ°āĻžāĻ§ā§ āĻā§āĻˇā§āĻ ā§ āĻāĻ āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻŦāĻŋāĻĒā§āĻ˛ āĻ¸āĻāĻā§āĻ¯āĻ āĻ¸ā§āĻĒā§āĻ¯āĻžāĻ¨āĻŋāĻļ āĻā§āĻŽā§āĻĒāĻžāĻ¨āĻŋāĻ¤ā§ āĻāĻā§āĻ°āĻŽāĻŖ āĻāĻ°ā§āĻāĻŋāĻ˛āĨ¤
āĻāĻžāĻ¤āĨ¤ 1: Ryuk ransomware āĻāĻā§āĻ°āĻŽāĻŖ āĻ¸āĻāĻā§āĻ°āĻžāĻ¨ā§āĻ¤ āĻāĻ˛ āĻāĻ¨āĻĢāĻŋāĻĄā§āĻ¨āĻļāĻŋāĻ¯āĻŧāĻžāĻ˛ āĻĨā§āĻā§ āĻāĻĻā§āĻ§ā§āĻ¤āĻŋ [1]
āĻāĻžāĻ¤āĨ¤ 2: Ryuk ransomware āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻŋāĻ¤ āĻāĻāĻāĻŋ āĻāĻā§āĻ°āĻŽāĻŖ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻāĻ˛ āĻĒāĻžāĻāĻ¸ā§āĻ° āĻāĻĻā§āĻ§ā§āĻ¤āĻŋ [2]
āĻāĻ āĻŦāĻāĻ°, Ryuk āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻĻā§āĻļā§ āĻāĻāĻāĻŋ āĻŦāĻĄāĻŧ āĻ¸āĻāĻā§āĻ¯āĻ āĻā§āĻŽā§āĻĒāĻžāĻ¨āĻŋ āĻāĻā§āĻ°āĻŽāĻŖ āĻāĻ°ā§āĻā§. āĻāĻĒāĻ¨āĻŋ āĻ¨ā§āĻā§āĻ° āĻĒāĻ°āĻŋāĻ¸āĻāĻā§āĻ¯āĻžāĻ¨ā§ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻā§āĻā§āĻ¨, āĻāĻžāĻ°ā§āĻŽāĻžāĻ¨āĻŋ, āĻā§āĻ¨, āĻāĻ˛āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻŦāĻ āĻāĻžāĻ°āĻ¤ āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻŦā§āĻļāĻŋ āĻāĻāĻžāĻ¤ āĻĒā§āĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤
āĻ¸āĻžāĻāĻŦāĻžāĻ° āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻ¸āĻāĻā§āĻ¯āĻž āĻ¤ā§āĻ˛āĻ¨āĻž āĻāĻ°ā§, āĻāĻŽāĻ°āĻž āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻā§āĻāĻŋ āĻ¯ā§ Ryuk āĻ˛āĻā§āĻˇ āĻ˛āĻā§āĻˇ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻā§ āĻĒā§āĻ°āĻāĻžāĻŦāĻŋāĻ¤ āĻāĻ°ā§āĻā§ āĻāĻŦāĻ āĻŦāĻŋāĻĒā§āĻ˛ āĻĒāĻ°āĻŋāĻŽāĻžāĻŖ āĻĄā§āĻāĻžāĻ° āĻ¸āĻžāĻĨā§ āĻāĻĒāĻ¸ āĻāĻ°ā§āĻā§, āĻ¯āĻžāĻ° āĻĢāĻ˛ā§ āĻŽāĻžāĻ°āĻžāĻ¤ā§āĻŽāĻ āĻ āĻ°ā§āĻĨāĻ¨ā§āĻ¤āĻŋāĻ āĻā§āĻˇāĻ¤āĻŋ āĻšāĻ¯āĻŧā§āĻā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 3: Ryuk āĻāĻ° āĻŦā§āĻļā§āĻŦāĻŋāĻ āĻāĻžāĻ°ā§āĻ¯āĻāĻ˛āĻžāĻĒā§āĻ° āĻāĻŋāĻ¤ā§āĻ°āĨ¤
āĻāĻžāĻ¤āĨ¤ 4: 16 āĻāĻŋ āĻĻā§āĻļ Ryuk āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻŦā§āĻļāĻŋ āĻĒā§āĻ°āĻāĻžāĻŦāĻŋāĻ¤
āĻāĻžāĻ¤āĨ¤ 5: Ryuk ransomware āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻā§āĻ°āĻžāĻ¨ā§āĻ¤ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ¸āĻāĻā§āĻ¯āĻž (āĻ˛āĻā§āĻˇ āĻ˛āĻā§āĻˇā§)
āĻāĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻšā§āĻŽāĻāĻŋāĻ° āĻ¸ā§āĻŦāĻžāĻāĻžāĻŦāĻŋāĻ āĻ
āĻĒāĻžāĻ°ā§āĻāĻŋāĻ āĻ¨ā§āĻ¤āĻŋ āĻ
āĻ¨ā§āĻ¸āĻžāĻ°ā§, āĻāĻ āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°, āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻĒāĻ°ā§, āĻļāĻŋāĻāĻžāĻ°āĻā§ āĻāĻāĻāĻŋ āĻŽā§āĻā§āĻ¤āĻŋāĻĒāĻŖ āĻŦāĻŋāĻā§āĻāĻĒā§āĻ¤āĻŋ āĻĻā§āĻāĻžāĻ¯āĻŧ āĻ¯āĻž āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋāĻ¤ā§ āĻ
ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ āĻŋāĻāĻžāĻ¨āĻžāĻ¯āĻŧ āĻŦāĻŋāĻāĻāĻ¯āĻŧā§āĻ¨ā§ āĻ
āĻ°ā§āĻĨ āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§āĨ¤
āĻāĻ āĻŽā§āĻ¯āĻžāĻ˛āĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĻāĻŋ āĻĒā§āĻ°āĻĨāĻŽ āĻāĻžāĻ˛ā§ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻĒāĻ° āĻĨā§āĻā§ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻā§āĨ¤
āĻāĻ āĻ¨āĻĨāĻŋāĻ¤ā§ āĻŦāĻŋāĻļā§āĻ˛ā§āĻˇāĻŖ āĻāĻ°āĻž āĻāĻ āĻšā§āĻŽāĻāĻŋāĻ° āĻ°ā§āĻĒāĻāĻŋ āĻāĻžāĻ¨ā§āĻ¯āĻŧāĻžāĻ°ā§ 2020 āĻ¸āĻžāĻ˛ā§ āĻāĻāĻāĻŋ āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻĒā§āĻ°āĻā§āĻˇā§āĻāĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻāĻŦāĻŋāĻˇā§āĻā§āĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤
āĻāĻ° āĻāĻāĻŋāĻ˛āĻ¤āĻžāĻ° āĻāĻžāĻ°āĻŖā§, āĻāĻ āĻŽā§āĻ¯āĻžāĻ˛āĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĻāĻŋ āĻĒā§āĻ°āĻžāĻ¯āĻŧāĻļāĻ āĻ¸āĻāĻāĻ āĻŋāĻ¤ āĻ¸āĻžāĻāĻŦāĻžāĻ° āĻ āĻĒāĻ°āĻžāĻ§ā§ āĻā§āĻˇā§āĻ ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĻāĻžāĻ¯āĻŧā§ āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¯āĻž APT āĻā§āĻ°ā§āĻĒ āĻ¨āĻžāĻŽā§āĻ āĻĒāĻ°āĻŋāĻāĻŋāĻ¤āĨ¤
Ryuk āĻā§āĻĄā§āĻ° āĻ āĻāĻļā§ āĻāĻ°ā§āĻāĻāĻŋ āĻ¸ā§āĻĒāĻ°āĻŋāĻāĻŋāĻ¤ ransomware, Harmes āĻāĻ° āĻā§āĻĄ āĻāĻŦāĻ āĻāĻžāĻ āĻžāĻŽā§āĻ° āĻ¸āĻžāĻĨā§ āĻ˛āĻā§āĻˇāĻŖā§āĻ¯āĻŧ āĻŽāĻŋāĻ˛ āĻ°āĻ¯āĻŧā§āĻā§, āĻ¯āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻ¤āĻžāĻ°āĻž āĻŦā§āĻļ āĻāĻ¯āĻŧā§āĻāĻāĻŋ āĻ āĻāĻŋāĻ¨ā§āĻ¨ āĻĢāĻžāĻāĻļāĻ¨ āĻāĻžāĻ āĻāĻ°ā§āĨ¤ āĻāĻ āĻāĻžāĻ°āĻŖā§āĻ Ryuk āĻĒā§āĻ°āĻžāĻĨāĻŽāĻŋāĻāĻāĻžāĻŦā§ āĻāĻ¤ā§āĻ¤āĻ° āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° āĻā§āĻ°ā§āĻĒ āĻ˛āĻžāĻāĻžāĻ°āĻžāĻ¸ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¯ā§āĻā§āĻ¤ āĻāĻŋāĻ˛, āĻ¯āĻž āĻ¸ā§āĻ āĻ¸āĻŽāĻ¯āĻŧā§ āĻšāĻžāĻ°ā§āĻŽāĻŋāĻ¸ āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°ā§āĻ° āĻĒāĻŋāĻāĻ¨ā§ āĻ°āĻ¯āĻŧā§āĻā§ āĻŦāĻ˛ā§ āĻ¸āĻ¨ā§āĻĻā§āĻš āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤
āĻā§āĻ°āĻžāĻāĻĄāĻ¸ā§āĻā§āĻ°āĻžāĻāĻā§āĻ° āĻĢā§āĻ¯āĻžāĻ˛āĻāĻ¨ āĻāĻā§āĻ¸ āĻ¸āĻžāĻ°ā§āĻāĻŋāĻ¸ āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§āĻ¤ā§ āĻāĻ˛ā§āĻ˛ā§āĻ āĻāĻ°ā§āĻā§ āĻ¯ā§ āĻ°āĻŋāĻāĻ āĻāĻ¸āĻ˛ā§ āĻāĻāĻāĻžāĻ°ā§āĻĄ āĻ¸ā§āĻĒāĻžāĻāĻĄāĻžāĻ° āĻā§āĻ°ā§āĻĒ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ [ā§Ē]āĨ¤
āĻāĻ āĻ
āĻ¨ā§āĻŽāĻžāĻ¨ā§āĻ° āĻ¸āĻŽāĻ°ā§āĻĨāĻ¨ā§ āĻāĻŋāĻā§ āĻĒā§āĻ°āĻŽāĻžāĻŖ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻĒā§āĻ°āĻĨāĻŽāĻ¤, āĻāĻ āĻ°âā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĻāĻŋāĻ° āĻŦāĻŋāĻā§āĻāĻžāĻĒāĻ¨ exploit.in āĻāĻ¯āĻŧā§āĻŦāĻ¸āĻžāĻāĻā§ āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛, āĻ¯ā§āĻāĻŋ āĻāĻāĻāĻŋ āĻ¸ā§āĻĒāĻ°āĻŋāĻāĻŋāĻ¤ āĻ°āĻžāĻļāĻŋāĻ¯āĻŧāĻžāĻ¨ āĻŽā§āĻ¯āĻžāĻ˛āĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻŽāĻžāĻ°ā§āĻā§āĻāĻĒā§āĻ˛ā§āĻ¸ āĻāĻŦāĻ āĻāĻ° āĻāĻā§ āĻāĻŋāĻā§ āĻ°āĻžāĻļāĻŋāĻ¯āĻŧāĻžāĻ¨ APT āĻā§āĻ°ā§āĻĒā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¯ā§āĻā§āĻ¤ āĻāĻŋāĻ˛āĨ¤
āĻāĻ āĻ¸āĻ¤ā§āĻ¯āĻāĻŋ āĻāĻ āĻ¤āĻ¤ā§āĻ¤ā§āĻŦāĻāĻŋāĻā§ āĻŦāĻžāĻ¤āĻŋāĻ˛ āĻāĻ°ā§ āĻ¯ā§ Ryuk āĻ˛āĻžāĻāĻžāĻ°āĻžāĻ¸ āĻāĻĒāĻŋāĻāĻŋ āĻā§āĻ°ā§āĻĒ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻāĻžāĻ°āĻŖ āĻā§āĻ°ā§āĻĒ āĻ¯ā§āĻāĻžāĻŦā§ āĻāĻžāĻ āĻāĻ°ā§ āĻ¤āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻāĻāĻž āĻāĻžāĻĒ āĻāĻžāĻ¯āĻŧ āĻ¨āĻžāĨ¤
āĻāĻĒāĻ°āĻ¨ā§āĻ¤ā§, Ryuk āĻāĻāĻāĻŋ ransomware āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻŦāĻŋāĻā§āĻāĻžāĻĒāĻ¨ āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻ¯āĻž āĻ°āĻžāĻļāĻŋāĻ¯āĻŧāĻžāĻ¨, āĻāĻāĻā§āĻ°ā§āĻ¨ā§āĻ¯āĻŧ āĻāĻŦāĻ āĻŦā§āĻ˛āĻžāĻ°ā§āĻļāĻŋāĻ¯āĻŧāĻžāĻ¨ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻāĻžāĻ āĻāĻ°āĻŦā§ āĻ¨āĻžāĨ¤ āĻāĻ āĻāĻāĻ°āĻŖāĻāĻŋ Ryuk-āĻāĻ° āĻāĻŋāĻā§ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖā§ āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻāĻāĻāĻŋ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŋāĻ¤ āĻšāĻ¯āĻŧ, āĻ¯ā§āĻāĻžāĻ¨ā§ āĻāĻāĻŋ āĻ°âā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĻāĻŋ āĻ¯ā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻāĻ˛āĻā§ āĻ¸ā§āĻāĻŋāĻ° āĻāĻžāĻˇāĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°ā§ āĻāĻŦāĻ āĻ¯āĻĻāĻŋ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽāĻāĻŋāĻ¤ā§ āĻ°āĻžāĻļāĻŋāĻ¯āĻŧāĻžāĻ¨, āĻāĻāĻā§āĻ°ā§āĻ¨ā§āĻ¯āĻŧ āĻŦāĻž āĻŦā§āĻ˛āĻžāĻ°ā§āĻļāĻŋāĻ¯āĻŧāĻžāĻ¨ āĻāĻžāĻˇāĻž āĻĨāĻžāĻā§ āĻ¤āĻŦā§ āĻāĻāĻŋ āĻāĻžāĻ˛āĻžāĻ¨ā§ āĻŦāĻ¨ā§āĻ§ āĻāĻ°ā§ āĻĻā§āĻ¯āĻŧāĨ¤ āĻ āĻŦāĻļā§āĻˇā§, āĻāĻāĻāĻžāĻ°ā§āĻĄ āĻ¸ā§āĻĒāĻžāĻāĻĄāĻžāĻ° āĻāĻŋāĻŽ āĻĻā§āĻŦāĻžāĻ°āĻž āĻšā§āĻ¯āĻžāĻ āĻāĻ°āĻž āĻŽā§āĻļāĻŋāĻ¨āĻāĻŋāĻ° āĻāĻāĻāĻŋ āĻŦāĻŋāĻļā§āĻˇāĻā§āĻ āĻŦāĻŋāĻļā§āĻ˛ā§āĻˇāĻŖā§ āĻŦā§āĻļ āĻāĻ¯āĻŧā§āĻāĻāĻŋ "āĻāĻ°ā§āĻāĻŋāĻĢā§āĻ¯āĻžāĻā§āĻ" āĻĒā§āĻ°āĻāĻžāĻļ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻ¯ā§āĻā§āĻ˛āĻŋ āĻšāĻžāĻ°ā§āĻŽāĻŋāĻ¸ āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°ā§āĻ° āĻāĻāĻāĻŋ āĻ°ā§āĻĒ āĻšāĻŋāĻ¸āĻžāĻŦā§ Ryuk-āĻāĻ° āĻŦāĻŋāĻāĻžāĻļā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻŦāĻ˛ā§ āĻ āĻāĻŋāĻ¯ā§āĻā§ˇ
āĻ
āĻ¨ā§āĻ¯āĻĻāĻŋāĻā§, āĻŦāĻŋāĻļā§āĻˇāĻā§āĻ āĻā§āĻ¯āĻžāĻŦā§āĻ°āĻŋāĻ¯āĻŧā§āĻ˛āĻž āĻ¨āĻŋāĻā§āĻ˛āĻžāĻ āĻāĻŦāĻ āĻ˛ā§āĻ¸āĻŋāĻ¯āĻŧāĻžāĻ¨ā§ āĻŽāĻžāĻ°ā§āĻāĻŋāĻ¨ā§āĻ¸ āĻĒāĻ°āĻžāĻŽāĻ°ā§āĻļ āĻĻāĻŋāĻ¯āĻŧā§āĻā§āĻ¨ āĻ¯ā§ āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĻāĻŋ āĻāĻĒāĻŋāĻāĻŋ āĻā§āĻ°ā§āĻĒ āĻā§āĻ°āĻŋāĻĒā§āĻā§āĻā§āĻ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§ [ā§Ģ]āĨ¤
āĻāĻāĻŋ āĻāĻ āĻ¸āĻ¤ā§āĻ¯ āĻĨā§āĻā§ āĻ
āĻ¨ā§āĻ¸āĻ°āĻŖ āĻāĻ°ā§ āĻ¯ā§ Ryuk āĻāĻ° āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻ° āĻāĻ¯āĻŧā§āĻ āĻŽāĻžāĻ¸ āĻāĻā§, āĻāĻ āĻā§āĻ°ā§āĻĒāĻāĻŋ āĻāĻāĻ āĻ¸āĻžāĻāĻā§āĻ° āĻĢā§āĻ°āĻžāĻŽā§ āĻ¤āĻĨā§āĻ¯ āĻĒā§āĻ¸ā§āĻ āĻāĻ°ā§āĻāĻŋāĻ˛ āĻ¯ā§ āĻ¤āĻžāĻ°āĻž āĻšāĻžāĻ°ā§āĻŽāĻŋāĻ¸ āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°ā§āĻ° āĻāĻāĻāĻŋ āĻ¨āĻ¤ā§āĻ¨ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻā§āĨ¤
āĻŦā§āĻļ āĻāĻŋāĻā§ āĻĢā§āĻ°āĻžāĻŽ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻĒā§āĻ°āĻļā§āĻ¨ āĻāĻ°ā§āĻā§ āĻ¯ā§ CryptoTech āĻāĻ¸āĻ˛ā§ Ryuk āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻā§ āĻāĻŋāĻ¨āĻžāĨ¤ āĻā§āĻˇā§āĻ ā§āĻāĻŋ āĻ¤āĻāĻ¨ āĻ¨āĻŋāĻā§āĻā§ āĻ°āĻā§āĻˇāĻž āĻāĻ°ā§āĻāĻŋāĻ˛ āĻāĻŦāĻ āĻŦāĻ˛ā§āĻāĻŋāĻ˛ āĻ¯ā§ āĻ¤āĻžāĻĻā§āĻ° āĻāĻžāĻā§ āĻĒā§āĻ°āĻŽāĻžāĻŖ āĻ°āĻ¯āĻŧā§āĻā§ āĻ¯ā§ āĻ¤āĻžāĻ°āĻž 100% āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻā§āĨ¤
2. āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯
āĻāĻŽāĻ°āĻž āĻŦā§āĻāĻ˛ā§āĻĄāĻžāĻ° āĻĻāĻŋāĻ¯āĻŧā§ āĻļā§āĻ°ā§ āĻāĻ°āĻŋ, āĻ¯āĻžāĻ° āĻāĻžāĻ āĻšāĻ˛ āĻāĻāĻŋ āĻ¯ā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽāĻāĻŋ āĻāĻžāĻ˛ā§ āĻāĻā§ āĻ¤āĻž āĻ¸āĻ¨āĻžāĻā§āĻ¤ āĻāĻ°āĻž āĻ¯āĻžāĻ¤ā§ Ryuk ransomware āĻāĻ° "āĻ¸āĻ āĻŋāĻ" āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ āĻāĻžāĻ˛ā§ āĻāĻ°āĻž āĻ¯āĻžāĻ¯āĻŧāĨ¤
āĻŦā§āĻāĻ˛ā§āĻĄāĻžāĻ° āĻšā§āĻ¯āĻžāĻļ āĻ¨āĻŋāĻŽā§āĻ¨āĻ°ā§āĻĒ:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
āĻāĻ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄāĻžāĻ°āĻāĻŋāĻ° āĻāĻāĻāĻŋ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻšāĻ˛ āĻāĻ¤ā§ āĻā§āĻ¨ā§ āĻŽā§āĻāĻžāĻĄā§āĻāĻž āĻ¨ā§āĻ, āĻ¯ā§āĻŽāĻ¨ āĻāĻ āĻŽā§āĻ¯āĻžāĻ˛āĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°ā§āĻ° āĻ¨āĻŋāĻ°ā§āĻŽāĻžāĻ¤āĻžāĻ°āĻž āĻāĻ¤ā§ āĻā§āĻ¨ā§ āĻ¤āĻĨā§āĻ¯ āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻā§āĻā§āĻ¤ āĻāĻ°ā§āĻ¨āĻ¨āĻŋāĨ¤
āĻāĻāĻ¨āĻ āĻāĻāĻ¨āĻ āĻ¤āĻžāĻ°āĻž āĻā§āĻ˛ āĻ¤āĻĨā§āĻ¯ āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻā§āĻā§āĻ¤ āĻāĻ°ā§ āĻ¯āĻžāĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻā§ āĻĒā§āĻ°āĻ¤āĻžāĻ°āĻŖāĻž āĻāĻ°āĻž āĻ¯āĻžāĻ¯āĻŧ āĻ¯ā§ āĻ¤āĻžāĻ°āĻž āĻāĻāĻāĻŋ āĻŦā§āĻ§ āĻ ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻā§āĻļāĻ¨ āĻāĻžāĻ˛āĻžāĻā§āĻā§āĨ¤ āĻ¯āĻžāĻāĻšā§āĻ, āĻāĻŽāĻ°āĻž āĻĒāĻ°ā§ āĻĻā§āĻāĻŦ, āĻ¯āĻĻāĻŋ āĻ¸āĻāĻā§āĻ°āĻŽāĻŖ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻŽāĻŋāĻĨāĻ¸ā§āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§ āĻāĻĄāĻŧāĻŋāĻ¤ āĻ¨āĻž āĻāĻ°ā§ (āĻ¯ā§āĻŽāĻ¨ āĻāĻ āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°ā§āĻ° āĻā§āĻˇā§āĻ¤ā§āĻ°ā§ āĻšāĻ¯āĻŧ), āĻ¤āĻžāĻšāĻ˛ā§ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻ°āĻž āĻŽā§āĻāĻžāĻĄā§āĻāĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ āĻŽāĻ¨ā§ āĻāĻ°ā§ āĻ¨āĻžāĨ¤
āĻāĻžāĻ¤āĨ¤ 6: āĻ¨āĻŽā§āĻ¨āĻž āĻŽā§āĻāĻž āĻĄā§āĻāĻž
āĻ¨āĻŽā§āĻ¨āĻžāĻāĻŋ 32-āĻŦāĻŋāĻ āĻŦāĻŋāĻ¨ā§āĻ¯āĻžāĻ¸ā§ āĻ¸āĻāĻāĻ˛āĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻ¯āĻžāĻ¤ā§ āĻāĻāĻŋ 32-āĻŦāĻŋāĻ āĻāĻŦāĻ 64-āĻŦāĻŋāĻ āĻāĻāĻ¯āĻŧ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻāĻ˛āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
3. āĻ āĻ¨ā§āĻĒā§āĻ°āĻŦā§āĻļ āĻā§āĻā§āĻāĻ°
āĻ¯ā§ āĻ¨āĻŽā§āĻ¨āĻžāĻāĻŋ Ryuk āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°ā§ āĻāĻŦāĻ āĻāĻžāĻ˛āĻžāĻ¯āĻŧ āĻ¤āĻž āĻāĻāĻāĻŋ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻĒā§āĻ°āĻŦā§āĻļ āĻāĻ°ā§āĻā§ āĻāĻŦāĻ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ°āĻā§āĻ˛āĻŋ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻžāĻĨāĻŽāĻŋāĻ RDP āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻšāĻ¯āĻŧā§āĻā§ā§ˇ
āĻāĻžāĻ¤āĨ¤ 7: āĻ
ā§āĻ¯āĻžāĻāĻžāĻ āĻ°ā§āĻāĻŋāĻ¸ā§āĻāĻžāĻ°
āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ āĻĻā§āĻ° āĻĨā§āĻā§ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻ˛āĻ āĻāĻ¨ āĻāĻ°āĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻ¯āĻŧāĨ¤ āĻāĻ° āĻĒāĻ°ā§, āĻ¤āĻŋāĻ¨āĻŋ āĻāĻŽāĻžāĻĻā§āĻ° āĻ¨āĻŽā§āĻ¨āĻž āĻ¸āĻš āĻāĻāĻāĻŋ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻĢāĻžāĻāĻ˛ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻāĻŋāĻ˛ā§āĻ¨āĨ¤
āĻāĻ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻā§ āĻāĻāĻāĻŋ āĻ
ā§āĻ¯āĻžāĻ¨ā§āĻāĻŋāĻāĻžāĻāĻ°āĻžāĻ¸ āĻ¸āĻŽāĻžāĻ§āĻžāĻ¨ āĻĻā§āĻŦāĻžāĻ°āĻž āĻŦā§āĻ˛āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤
āĻāĻžāĻ¤āĨ¤ 8: āĻĒā§āĻ¯āĻžāĻāĻžāĻ°ā§āĻ¨ āĻ˛āĻ
āĻāĻžāĻ¤āĨ¤ 9: āĻĒā§āĻ¯āĻžāĻāĻžāĻ°ā§āĻ¨ āĻ˛āĻ
āĻ¯āĻāĻ¨ āĻĻā§āĻˇāĻŋāĻ¤ āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻŦā§āĻ˛āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛, āĻ¤āĻāĻ¨ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻāĻāĻāĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§āĻāĻŋāĻ˛, āĻ¯ā§āĻāĻŋāĻ āĻŦā§āĻ˛āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤
āĻāĻžāĻ¤āĨ¤ 10: āĻ¨āĻŽā§āĻ¨āĻžāĻ° āĻ¸ā§āĻ āĻ¯āĻž āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§āĻāĻŋāĻ˛
āĻ
āĻŦāĻļā§āĻˇā§, āĻ¤āĻŋāĻ¨āĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻāĻ¨āĻ¸ā§āĻ˛ā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻ°ā§āĻāĻāĻŋ āĻĻā§āĻˇāĻŋāĻ¤ āĻĢāĻžāĻāĻ˛ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§āĻāĻŋāĻ˛ā§āĻ¨
āĻ
ā§āĻ¯āĻžāĻ¨ā§āĻāĻŋāĻāĻžāĻāĻ°āĻžāĻ¸ āĻ¸ā§āĻ°āĻā§āĻˇāĻž āĻŦāĻžāĻāĻĒāĻžāĻ¸ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ°āĻļā§āĻ˛āĨ¤ āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ¤āĻžāĻā§āĻ āĻ
āĻŦāĻ°ā§āĻĻā§āĻ§ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
āĻāĻžāĻ¤āĨ¤ 11: āĻā§āĻˇāĻ¤āĻŋāĻāĻžāĻ°āĻ āĻ¸āĻžāĻŽāĻā§āĻ°ā§ āĻ¸āĻš PowerShell āĻŦā§āĻ˛āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§
āĻāĻžāĻ¤āĨ¤ 12: āĻā§āĻˇāĻ¤āĻŋāĻāĻžāĻ°āĻ āĻ¸āĻžāĻŽāĻā§āĻ°ā§ āĻ¸āĻš PowerShell āĻŦā§āĻ˛āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§
4. āĻ˛ā§āĻĄāĻžāĻ°
āĻ¯āĻāĻ¨ āĻāĻāĻŋ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻšāĻ¯āĻŧ, āĻāĻāĻŋ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°ā§ āĻāĻāĻāĻŋ ReadMe āĻĢāĻžāĻāĻ˛ āĻ˛ā§āĻā§ % āĻā§āĻŽā§āĻĒ%, āĻ¯āĻž Ryuk āĻāĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖāĨ¤ āĻāĻ āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻāĻāĻāĻŋ āĻŽā§āĻā§āĻ¤āĻŋāĻĒāĻŖ āĻ¨ā§āĻ āĻ¯āĻžāĻ¤ā§ āĻĒā§āĻ°ā§āĻāĻ¨āĻŽā§āĻāĻ˛ āĻĄā§āĻŽā§āĻ¨ā§ āĻāĻāĻāĻŋ āĻāĻŽā§āĻ˛ āĻ āĻŋāĻāĻžāĻ¨āĻž āĻ°āĻ¯āĻŧā§āĻā§, āĻ¯āĻž āĻāĻ āĻŽā§āĻ¯āĻžāĻ˛āĻāĻ¯āĻŧā§āĻ¯āĻžāĻ° āĻĒāĻ°āĻŋāĻŦāĻžāĻ°ā§ āĻŦā§āĻļ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ: [āĻāĻŽā§āĻ˛ āĻ¸ā§āĻ°āĻā§āĻˇāĻŋāĻ¤]
āĻāĻžāĻ¤āĨ¤ 13: āĻŽā§āĻā§āĻ¤āĻŋāĻĒāĻŖ āĻĻāĻžāĻŦāĻŋ
āĻ¯āĻāĻ¨ āĻŦā§āĻāĻ˛ā§āĻĄāĻžāĻ° āĻāĻ˛āĻā§, āĻāĻĒāĻ¨āĻŋ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻā§āĻā§āĻ¨ āĻ¯ā§ āĻāĻāĻŋ āĻ°ā§āĻ¯āĻžāĻ¨ā§āĻĄāĻŽ āĻ¨āĻžāĻŽ āĻ¸āĻš āĻŦā§āĻļ āĻāĻ¯āĻŧā§āĻāĻāĻŋ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻĢāĻžāĻāĻ˛ āĻāĻžāĻ˛ā§ āĻāĻ°ā§āĨ¤ āĻāĻā§āĻ˛āĻŋ āĻāĻāĻāĻŋ āĻ˛ā§āĻāĻžāĻ¨ā§ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°ā§ āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻĒāĻžāĻŦāĻ˛āĻŋāĻ, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻŦāĻŋāĻāĻ˛ā§āĻĒāĻāĻŋ āĻ āĻĒāĻžāĻ°ā§āĻāĻŋāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻ¸āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻ¨āĻž āĻĨāĻžāĻāĻ˛ā§ "āĻ˛ā§āĻāĻžāĻ¨ā§ āĻĢāĻžāĻāĻ˛ āĻ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°āĻā§āĻ˛āĻŋ āĻĻā§āĻāĻžāĻ", āĻ¤āĻžāĻšāĻ˛ā§ āĻ¤āĻžāĻ°āĻž āĻ˛ā§āĻāĻŋāĻ¯āĻŧā§ āĻĨāĻžāĻāĻŦā§āĨ¤ āĻ¤āĻžāĻāĻžāĻĄāĻŧāĻž, āĻāĻ āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋ 64-āĻŦāĻŋāĻ, āĻĒā§āĻ¯āĻžāĻ°ā§āĻ¨ā§āĻ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻŦāĻŋāĻĒāĻ°ā§āĻ¤ā§, āĻ¯āĻž 32-āĻŦāĻŋāĻāĨ¤
āĻāĻžāĻ¤āĨ¤ 14: āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻĢāĻžāĻāĻ˛ āĻ¨āĻŽā§āĻ¨āĻž āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻžāĻ˛ā§ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§
āĻāĻĒāĻ¨āĻŋ āĻāĻĒāĻ°ā§āĻ° āĻāĻŦāĻŋāĻ¤ā§ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻā§āĻā§āĻ¨, Ryuk icacls.exe āĻāĻžāĻ˛ā§ āĻāĻ°ā§āĻā§, āĻ¯āĻž āĻ¸āĻŽāĻ¸ā§āĻ¤ ACL (āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻ¤āĻžāĻ˛āĻŋāĻāĻž) āĻ¸āĻāĻļā§āĻ§āĻ¨ āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻŦā§, āĻāĻāĻāĻžāĻŦā§ āĻĒāĻ¤āĻžāĻāĻžāĻā§āĻ˛āĻŋāĻ° āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻŦāĻ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻŦā§āĨ¤
āĻ¤ā§āĻ°ā§āĻāĻŋ (/C) āĻ¨āĻŋāĻ°ā§āĻŦāĻŋāĻļā§āĻˇā§ āĻāĻŦāĻ āĻā§āĻ¨ā§ āĻŦāĻžāĻ°ā§āĻ¤āĻž (/Q) āĻ¨āĻž āĻĻā§āĻāĻŋāĻ¯āĻŧā§āĻ āĻāĻāĻŋ āĻĄāĻŋāĻāĻžāĻāĻ¸ā§āĻ° (/T) āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻĢāĻžāĻāĻ˛ā§ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ āĻ§ā§āĻ¨ā§ āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĒāĻžāĻ¯āĻŧāĨ¤
āĻāĻžāĻ¤āĨ¤ 15: āĻ¨āĻŽā§āĻ¨āĻž āĻĻā§āĻŦāĻžāĻ°āĻž icacls.exe āĻāĻ° āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻļāĻ¨ āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° āĻāĻžāĻ˛ā§ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§
āĻāĻāĻŋ āĻ˛āĻā§āĻˇ āĻāĻ°āĻž āĻā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§āĻ°ā§āĻŖ āĻ¯ā§ Ryuk āĻāĻĒāĻ¨āĻŋ āĻāĻāĻ¨ā§āĻĄā§āĻā§āĻ° āĻā§āĻ¨ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖāĻāĻŋ āĻāĻžāĻ˛āĻžāĻā§āĻā§āĻ¨ āĻ¤āĻž āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°ā§āĨ¤ āĻ āĻāĻ¨ā§āĻ¯ āĻ¤āĻŋāĻ¨āĻŋ
āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻāĻāĻŋ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°ā§ GetVersionExW, āĻ¯āĻžāĻ¤ā§ āĻāĻāĻŋ āĻĒāĻ¤āĻžāĻāĻžāĻ° āĻŽāĻžāĻ¨ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°ā§ āĻāĻ˛āĻĒāĻŋ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ āĻ¤āĻĨā§āĻ¯āĻāĻāĻ¨ā§āĻĄā§āĻā§āĻ° āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ āĻāĻ° āĻā§āĻ¯āĻŧā§ āĻ¨āĻ¤ā§āĻ¨ āĻāĻŋāĻ¨āĻž āĻ¤āĻž āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻāĻ°ā§ āĻāĻāĻ¨ā§āĻĄā§āĻ āĻāĻā§āĻ¸āĻĒāĻŋ.
āĻāĻĒāĻ¨āĻŋ Windows XP-āĻāĻ° āĻĒāĻ°ā§ āĻāĻāĻāĻŋ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ āĻāĻžāĻ˛āĻžāĻā§āĻā§āĻ¨ āĻāĻŋāĻ¨āĻž āĻ¤āĻžāĻ° āĻāĻĒāĻ° āĻ¨āĻŋāĻ°ā§āĻāĻ° āĻāĻ°ā§, āĻŦā§āĻ āĻ˛ā§āĻĄāĻžāĻ° āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°ā§ āĻ˛āĻŋāĻāĻŦā§ - āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°ā§ %āĻĒāĻžāĻŦāĻ˛āĻŋāĻ%.
āĻāĻžāĻ¤āĨ¤ 17: āĻ
āĻĒāĻžāĻ°ā§āĻāĻŋāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻž āĻšāĻā§āĻā§
āĻ¯ā§ āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻ˛ā§āĻāĻž āĻšāĻā§āĻā§ āĻ¤āĻž āĻšāĻ˛ Ryuk. āĻāĻāĻŋ āĻ¤āĻžāĻ°āĻĒāĻ° āĻāĻāĻŋ āĻāĻžāĻ˛āĻžāĻ¯āĻŧ, āĻāĻāĻāĻŋ āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻ¤āĻžāĻ° āĻ¨āĻŋāĻāĻ¸ā§āĻŦ āĻ āĻŋāĻāĻžāĻ¨āĻž āĻĒāĻžāĻ¸ āĻāĻ°ā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 18: ShellExecute āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ Ryuk āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻž
Ryuk āĻĒā§āĻ°āĻĨāĻŽ āĻāĻŋāĻ¨āĻŋāĻ¸āĻāĻŋ āĻāĻ¨āĻĒā§āĻ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋ āĻā§āĻ°āĻšāĻŖ āĻāĻ°ā§āĨ¤ āĻāĻ āĻ¸āĻŽāĻ¯āĻŧ āĻĻā§āĻāĻŋ āĻāĻ¨āĻĒā§āĻ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋ āĻ°āĻ¯āĻŧā§āĻā§ (āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻ¨āĻŋāĻā§āĻ āĻāĻŦāĻ āĻĄā§āĻ°āĻĒāĻžāĻ° āĻ ā§āĻ¯āĻžāĻĄā§āĻ°ā§āĻ¸) āĻ¯āĻž āĻāĻ° āĻ¨āĻŋāĻāĻ¸ā§āĻŦ āĻā§āĻ°ā§āĻ¸ āĻŽā§āĻā§ āĻĢā§āĻ˛āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧāĨ¤
āĻāĻžāĻ¤āĨ¤ 19: āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž
āĻāĻĒāĻ¨āĻŋ āĻāĻāĻŋāĻ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨ āĻ¯ā§ āĻāĻāĻŋ āĻāĻāĻŦāĻžāĻ° āĻ¤āĻžāĻ° āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛āĻā§āĻ˛āĻŋ āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻĒāĻ°ā§, āĻāĻāĻŋ āĻ¨āĻŋāĻā§āĻ āĻŽā§āĻā§ āĻĢā§āĻ˛ā§, āĻāĻāĻāĻžāĻŦā§ āĻ¯ā§ āĻĢā§āĻ˛ā§āĻĄāĻžāĻ°ā§ āĻāĻāĻŋ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻ¸ā§āĻāĻžāĻ¨ā§ āĻ¤āĻžāĻ° āĻ¨āĻŋāĻāĻ¸ā§āĻŦ āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻ° āĻā§āĻ¨āĻ āĻāĻŋāĻšā§āĻ¨ āĻ āĻŦāĻļāĻŋāĻˇā§āĻ āĻĨāĻžāĻā§ āĻ¨āĻžāĨ¤
āĻāĻžāĻ¤āĨ¤ 20: āĻāĻāĻāĻŋ āĻĢāĻžāĻāĻ˛ āĻŽā§āĻā§ āĻĢā§āĻ˛āĻž āĻšāĻā§āĻā§
5. RYUK
5.1 āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ
Ryuk, āĻ
āĻ¨ā§āĻ¯āĻžāĻ¨ā§āĻ¯ āĻŽā§āĻ¯āĻžāĻ˛āĻāĻ¯āĻŧāĻžāĻ°ā§āĻ° āĻŽāĻ¤ā§, āĻ¯āĻ¤āĻā§āĻˇāĻŖ āĻ¸āĻŽā§āĻāĻŦ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻĨāĻžāĻāĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§āĨ¤ āĻāĻĒāĻ°ā§ āĻĻā§āĻāĻžāĻ¨ā§ āĻšāĻŋāĻ¸āĻžāĻŦā§, āĻāĻ āĻ˛āĻā§āĻˇā§āĻ¯ āĻ
āĻ°ā§āĻāĻ¨ā§āĻ° āĻāĻāĻāĻŋ āĻāĻĒāĻžāĻ¯āĻŧ āĻšāĻ˛ āĻā§āĻĒāĻ¨ā§ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻĢāĻžāĻāĻ˛ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻāĻŦāĻ āĻāĻžāĻ˛āĻžāĻ¨ā§āĨ¤ āĻāĻāĻŋ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻ
āĻ¨ā§āĻļā§āĻ˛āĻ¨ āĻšāĻ˛ āĻ°ā§āĻāĻŋāĻ¸ā§āĻā§āĻ°āĻŋ āĻā§ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻž āĻāĻžāĻ°ā§āĻ¨ā§āĻ āĻāĻžāĻ°ā§āĻ¸āĻ¨āĻ°ā§āĻ¨.
āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻāĻĒāĻ¨āĻŋ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨ āĻ¯ā§ āĻāĻ āĻāĻĻā§āĻĻā§āĻļā§āĻ¯ā§ āĻĒā§āĻ°āĻĨāĻŽ āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻāĻžāĻ˛ā§ āĻāĻ°āĻž āĻšāĻŦā§ VWjRF.exe
(āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ¨āĻžāĻŽ āĻāĻ˛ā§āĻŽā§āĻ˛ā§āĻāĻžāĻŦā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻšāĻ¯āĻŧ) āĻ˛āĻā§āĻ āĻšāĻ¯āĻŧ cmd.exe.
āĻāĻžāĻ¤āĨ¤ 21: VWjRF.exe āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻž āĻšāĻā§āĻā§
āĻ¤āĻžāĻ°āĻĒāĻ° āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻ˛āĻŋāĻā§āĻ¨ āĻāĻžāĻ˛āĻžāĻ¨ āĻ¨āĻžāĻŽā§āĻ° āĻ¸āĻžāĻĨā§"svchos"āĨ¤ āĻāĻāĻāĻžāĻŦā§, āĻāĻĒāĻ¨āĻŋ āĻ¯āĻĻāĻŋ āĻ¯ā§āĻā§āĻ¨ āĻ¸āĻŽāĻ¯āĻŧ āĻ°ā§āĻāĻŋāĻ¸ā§āĻā§āĻ°āĻŋ āĻā§āĻā§āĻ˛āĻŋ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻ¤ā§ āĻāĻžāĻ¨, āĻāĻĒāĻ¨āĻŋ āĻ¸āĻšāĻā§āĻ āĻāĻ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨āĻāĻŋ āĻŽāĻŋāĻ¸ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨, svchost-āĻāĻ° āĻ¸āĻžāĻĨā§ āĻāĻ āĻ¨āĻžāĻŽā§āĻ° āĻ¸āĻžāĻĻā§āĻļā§āĻ¯ āĻ°āĻ¯āĻŧā§āĻā§ā§ˇ āĻāĻ āĻā§āĻāĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻ§āĻ¨ā§āĻ¯āĻŦāĻžāĻĻ, Ryuk āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻāĻ° āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°ā§ā§ˇ āĻ¯āĻĻāĻŋ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽāĻāĻŋ āĻ¨āĻž āĻĨāĻžāĻā§ āĻāĻāĻ¨āĻ āĻ¸āĻāĻā§āĻ°āĻŽāĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻā§, āĻ¤āĻžāĻ°āĻĒāĻ° āĻāĻĒāĻ¨āĻŋ āĻ¯āĻāĻ¨ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ°āĻŋāĻŦā§āĻ āĻāĻ°āĻŦā§āĻ¨, āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻāĻŦāĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°āĻŦā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 22: āĻ¨āĻŽā§āĻ¨āĻž āĻ°ā§āĻāĻŋāĻ¸ā§āĻā§āĻ°āĻŋ āĻā§-āĻ¤ā§ āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ āĻ¨āĻŋāĻļā§āĻāĻŋāĻ¤ āĻāĻ°ā§
āĻāĻŽāĻ°āĻž āĻāĻ°āĻ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ°āĻŋ āĻ¯ā§ āĻāĻ āĻāĻā§āĻ¸āĻŋāĻāĻŋāĻāĻā§āĻŦāĻ˛ āĻĻā§āĻāĻŋ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻŦāĻ¨ā§āĻ§ āĻāĻ°ā§ āĻĻā§āĻ¯āĻŧ:
"audioendpointbuilder", āĻ¯āĻž, āĻāĻ° āĻ¨āĻžāĻŽ āĻ
āĻ¨ā§āĻ¸āĻžāĻ°ā§, āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ
āĻĄāĻŋāĻāĻ° āĻ¸āĻžāĻĨā§ āĻŽāĻŋāĻ˛ā§ āĻ¯āĻžāĻ¯āĻŧ,
āĻāĻžāĻ¤āĨ¤ 23: āĻ¨āĻŽā§āĻ¨āĻž āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻ
āĻĄāĻŋāĻ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻŦāĻ¨ā§āĻ§ āĻāĻ°ā§ āĻĻā§āĻ¯āĻŧ
и āĻ¸āĻžāĻŽāĻ¸, āĻ¯āĻž āĻāĻāĻāĻŋ āĻ
ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻ āĻŦā§āĻ¯āĻŦāĻ¸ā§āĻĨāĻžāĻĒāĻ¨āĻž āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻžāĨ¤ āĻāĻ āĻĻā§āĻāĻŋ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻŦāĻ¨ā§āĻ§ āĻāĻ°āĻž Ryuk āĻāĻ° āĻāĻāĻāĻŋ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯āĨ¤ āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻ¯āĻĻāĻŋ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽāĻāĻŋ āĻāĻāĻāĻŋ SIEM āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻāĻ¯ā§āĻā§āĻ¤ āĻĨāĻžāĻā§, āĻ¤āĻžāĻšāĻ˛ā§ ransomware āĻāĻāĻŋ āĻĒāĻžāĻ āĻžāĻ¨ā§ āĻŦāĻ¨ā§āĻ§ āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§
āĻāĻžāĻ¤āĨ¤ 24: āĻ¨āĻŽā§āĻ¨āĻž Samss āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻŦāĻ¨ā§āĻ§ āĻāĻ°ā§ āĻĻā§āĻ¯āĻŧ
5.2 āĻŦāĻŋāĻļā§āĻˇāĻžāĻ§āĻŋāĻāĻžāĻ°
āĻ¸āĻžāĻ§āĻžāĻ°āĻŖāĻāĻžāĻŦā§ āĻŦāĻ˛āĻ¤ā§ āĻā§āĻ˛ā§, Ryuk āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻĒāĻžāĻļā§āĻŦāĻŦāĻ°ā§āĻ¤ā§āĻāĻžāĻŦā§ āĻ¸āĻ°āĻžāĻ¨ā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻļā§āĻ°ā§ āĻšāĻ¯āĻŧ āĻŦāĻž āĻāĻāĻŋ āĻ
āĻ¨ā§āĻ¯ āĻŽā§āĻ¯āĻžāĻ˛āĻāĻ¯āĻŧāĻžāĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻāĻžāĻ˛ā§ āĻšāĻ¯āĻŧ āĻ¯ā§āĻŽāĻ¨
āĻāĻā§āĻ, āĻŦāĻžāĻ¸ā§āĻ¤āĻŦāĻžāĻ¯āĻŧāĻ¨ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° āĻĒā§āĻ°ā§āĻŦāĻ¸ā§āĻā§ āĻšāĻŋāĻ¸āĻžāĻŦā§, āĻāĻŽāĻ°āĻž āĻ¤āĻžāĻā§ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°āĻ¤ā§ āĻĻā§āĻāĻŋ āĻ¨āĻŋāĻā§āĻā§ āĻāĻĻā§āĻŽāĻŦā§āĻļā§ āĻāĻ°āĻž, āĻ¯āĻžāĻ° āĻ āĻ°ā§āĻĨ āĻšāĻ˛ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻā§āĻā§āĻ¨ā§āĻ° āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻ¸ā§āĻā§āĻ°ā§āĻŽā§ āĻĒāĻžāĻ āĻžāĻ¨ā§ āĻšāĻŦā§, āĻ¯ā§āĻāĻžāĻ¨ā§ āĻāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ āĻŦāĻŋāĻ˛āĻŽā§āĻŦā§ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻ°āĻž āĻšāĻŦā§ GetCurrentThread.
āĻāĻžāĻ¤āĨ¤ 25: āĻāĻĻā§āĻŽāĻŦā§āĻļā§ āĻ¨āĻŋāĻā§āĻā§ āĻāĻ˛ āĻāĻ°ā§āĻ¨
āĻāĻŽāĻ°āĻž āĻ¤āĻāĻ¨ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ āĻ¯ā§ āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻĨā§āĻ°ā§āĻĄā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻāĻāĻŋ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻā§āĻā§āĻ¨ āĻ¯ā§āĻā§āĻ¤ āĻāĻ°āĻŦā§āĨ¤ āĻāĻŽāĻ°āĻž āĻĒāĻ¤āĻžāĻāĻž āĻ¯ā§ āĻāĻ āĻāĻžāĻā§āĻāĻŋāĻ¤ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸, āĻ¯āĻž āĻĨā§āĻ°ā§āĻĄā§āĻ° āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¨āĻŋāĻ¯āĻŧāĻ¨ā§āĻ¤ā§āĻ°āĻŖ āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§ edx āĻ¯ā§ āĻŽāĻžāĻ¨āĻāĻŋ āĻā§āĻ°āĻšāĻŖ āĻāĻ°āĻŦā§ āĻ¤āĻž āĻšāĻāĻ¯āĻŧāĻž āĻāĻāĻŋāĻ¤ TOKEN_ALL_ACESS āĻ āĻĨāĻŦāĻž āĻ āĻ¨ā§āĻ¯āĻāĻŋ - TOKEN_WRITE.
āĻāĻžāĻ¤āĨ¤ 26: āĻāĻāĻāĻŋ āĻĢā§āĻ˛ā§ āĻā§āĻā§āĻ¨ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž
āĻ¤āĻžāĻšāĻ˛ā§ āĻ¸ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŦā§ SeDebug Privilege āĻāĻŦāĻ āĻĨā§āĻ°ā§āĻĄā§ āĻĄāĻŋāĻŦāĻžāĻ āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻāĻ˛ āĻāĻ°āĻŦā§, āĻ¯āĻžāĻ° āĻĢāĻ˛ā§ PROCESS_ALL_ACCESS, āĻ¤āĻŋāĻ¨āĻŋ āĻ¯ā§āĻā§āĻ¨ā§ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻŦā§āĻ¨āĨ¤ āĻāĻāĻ¨, āĻĒā§āĻ°āĻĻāĻ¤ā§āĻ¤ āĻ¯ā§ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻāĻžāĻ°ā§āĻ° āĻāĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§āĻ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻ¸ā§āĻ¤ā§āĻ¤ āĻĒā§āĻ°āĻŦāĻžāĻš āĻ°āĻ¯āĻŧā§āĻā§, āĻ¯āĻž āĻ āĻŦāĻļāĻŋāĻˇā§āĻ āĻĨāĻžāĻā§ āĻ¤āĻž āĻšāĻ˛ āĻā§āĻĄāĻŧāĻžāĻ¨ā§āĻ¤ āĻĒāĻ°ā§āĻ¯āĻžāĻ¯āĻŧā§ āĻāĻāĻŋāĻ¯āĻŧā§ āĻ¯āĻžāĻāĻ¯āĻŧāĻžāĨ¤
āĻāĻžāĻ¤āĨ¤ 27: āĻāĻ˛āĻŋāĻ SeDebugPrivilege āĻāĻŦāĻ Privilege Escalation āĻĢāĻžāĻāĻļāĻ¨
āĻāĻāĻĻāĻŋāĻā§, āĻāĻŽāĻžāĻĻā§āĻ° āĻ°āĻ¯āĻŧā§āĻā§ LookupPrivilegeValueW, āĻ¯ā§āĻāĻŋ āĻāĻŽāĻžāĻĻā§āĻ°āĻā§ āĻāĻŽāĻ°āĻž āĻ¯ā§ āĻ¸ā§āĻ¯ā§āĻ-āĻ¸ā§āĻŦāĻŋāĻ§āĻž āĻŦāĻžāĻĄāĻŧāĻžāĻ¤ā§ āĻāĻžāĻ āĻ¸ā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻ¤āĻĨā§āĻ¯ āĻ¸āĻ°āĻŦāĻ°āĻžāĻš āĻāĻ°ā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 28: āĻŦāĻŋāĻļā§āĻˇāĻžāĻ§āĻŋāĻāĻžāĻ° āĻŦā§āĻĻā§āĻ§āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻŦāĻŋāĻļā§āĻˇāĻžāĻ§āĻŋāĻāĻžāĻ° āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ¤āĻĨā§āĻ¯ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ
āĻ¨ā§āĻ°ā§āĻ§ āĻāĻ°ā§āĻ¨
āĻ āĻ¨ā§āĻ¯āĻĻāĻŋāĻā§, āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻā§ āĻā§āĻā§āĻ¨ āĻŦāĻŋāĻļā§āĻˇāĻžāĻ§āĻŋāĻāĻžāĻ° āĻ¸āĻžāĻŽāĻā§āĻāĻ¸ā§āĻ¯ āĻāĻ°ā§āĻ¨, āĻ¯āĻž āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻŽāĻžāĻĻā§āĻ° āĻĒā§āĻ°āĻŦāĻžāĻšā§āĻ° āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻ āĻ§āĻŋāĻāĻžāĻ° āĻĒā§āĻ¤ā§ āĻĻā§āĻ¯āĻŧāĨ¤ āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻā§āĻ°ā§āĻ¤ā§āĻŦāĻĒā§āĻ°ā§āĻŖ āĻŦāĻŋāĻˇāĻ¯āĻŧ āĻšāĻ˛ āĻ¨āĻŋāĻāĻ¸ā§āĻā§āĻ, āĻ¯āĻžāĻ° āĻĒāĻ¤āĻžāĻāĻž āĻŦāĻŋāĻļā§āĻˇāĻžāĻ§āĻŋāĻāĻžāĻ° āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻāĻ°āĻŦā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 29: āĻāĻāĻāĻŋ āĻā§āĻā§āĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ
āĻ¨ā§āĻŽāĻ¤āĻŋ āĻ¸ā§āĻ āĻāĻĒ āĻāĻ°āĻž
5.3 āĻŦāĻžāĻ¸ā§āĻ¤āĻŦāĻžāĻ¯āĻŧāĻ¨
āĻāĻ āĻŦāĻŋāĻāĻžāĻā§, āĻāĻŽāĻ°āĻž āĻĻā§āĻāĻžāĻŦ āĻāĻŋāĻāĻžāĻŦā§ āĻ¨āĻŽā§āĻ¨āĻžāĻāĻŋ āĻĒā§āĻ°ā§āĻŦā§ āĻāĻ āĻĒā§āĻ°āĻ¤āĻŋāĻŦā§āĻĻāĻ¨ā§ āĻāĻ˛ā§āĻ˛āĻŋāĻāĻŋāĻ¤ āĻŦāĻžāĻ¸ā§āĻ¤āĻŦāĻžāĻ¯āĻŧāĻ¨ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°ā§āĨ¤
āĻŦāĻžāĻ¸ā§āĻ¤āĻŦāĻžāĻ¯āĻŧāĻ¨ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° āĻŽā§āĻ˛ āĻ˛āĻā§āĻˇā§āĻ¯, āĻ¸ā§āĻāĻ¸āĻžāĻĨā§ āĻŦā§āĻĻā§āĻ§āĻŋ, āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ˛āĻžāĻ āĻāĻ°āĻž āĻāĻžāĻ¯āĻŧāĻž āĻāĻĒāĻŋ. āĻāĻāĻŋ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻ¤āĻžāĻā§ āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻā§āĻ¯āĻŧā§ āĻŦā§āĻļāĻŋ āĻ āĻ§āĻŋāĻāĻžāĻ° āĻ¸āĻš āĻāĻāĻāĻŋ āĻĨā§āĻ°ā§āĻĄ āĻ¨āĻŋāĻ¯āĻŧā§ āĻāĻžāĻ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§āĨ¤ āĻāĻāĻŦāĻžāĻ° āĻāĻāĻŋ āĻāĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¨āĻ¤ āĻ āĻ§āĻŋāĻāĻžāĻ° āĻ āĻ°ā§āĻāĻ¨ āĻāĻ°āĻ˛ā§, āĻāĻāĻŋ āĻāĻĒāĻŋāĻā§āĻ˛āĻŋ āĻŽā§āĻā§ āĻĢā§āĻ˛āĻŦā§ āĻāĻŦāĻ āĻ āĻĒāĻžāĻ°ā§āĻāĻŋāĻ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§āĻ° āĻĒā§āĻ°ā§āĻŦāĻŦāĻ°ā§āĻ¤ā§ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻā§ āĻĢāĻŋāĻ°ā§ āĻāĻ¸āĻž āĻ āĻ¸āĻŽā§āĻāĻŦ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ āĻ¨ā§āĻ¯āĻžāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋāĻ¤ā§ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻŦā§āĨ¤
āĻāĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻŽā§āĻ¯āĻžāĻ˛āĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ CreateToolHelp32SnapshotāĻ¤āĻžāĻ āĻāĻāĻŋ āĻŦāĻ°ā§āĻ¤āĻŽāĻžāĻ¨ā§ āĻāĻ˛āĻŽāĻžāĻ¨ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻ¨ā§āĻ¯āĻžāĻĒāĻļāĻ āĻ¨ā§āĻ¯āĻŧ āĻāĻŦāĻ āĻ¸ā§āĻ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§ āĻāĻĒā§āĻ¨āĻĒā§āĻ°āĻ¸ā§āĻ¸. āĻāĻāĻŦāĻžāĻ° āĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋāĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ˛āĻžāĻ āĻāĻ°āĻ˛ā§, āĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋāĻā§āĻ˛āĻŋ āĻĒā§āĻ¤ā§ āĻ¤āĻžāĻ° āĻ¤āĻĨā§āĻ¯ āĻ¸āĻš āĻāĻāĻāĻŋ āĻā§āĻā§āĻ¨āĻ āĻā§āĻ˛ā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 30: āĻāĻŽā§āĻĒāĻŋāĻāĻāĻžāĻ° āĻĨā§āĻā§ āĻĒā§āĻ°āĻ¸ā§āĻ¸ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻ°āĻž
CreateToolhelp140002Snapshot āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻāĻŋ āĻāĻŋāĻāĻžāĻŦā§ āĻ°ā§āĻāĻŋāĻ¨ 9D32C-āĻ¤ā§ āĻāĻ˛āĻŽāĻžāĻ¨ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋāĻ° āĻ¤āĻžāĻ˛āĻŋāĻāĻž āĻĒāĻžāĻ¯āĻŧ āĻ¤āĻž āĻāĻŽāĻ°āĻž āĻāĻ¤āĻŋāĻļā§āĻ˛āĻāĻžāĻŦā§ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ°āĻŋāĨ¤ āĻ¸ā§āĻā§āĻ˛āĻŋ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻĒāĻ°ā§, āĻ¤āĻŋāĻ¨āĻŋ āĻ¸āĻĢāĻ˛ āĻ¨āĻž āĻšāĻāĻ¯āĻŧāĻž āĻĒāĻ°ā§āĻ¯āĻ¨ā§āĻ¤ āĻāĻĒā§āĻ¨āĻĒā§āĻ°āĻ¸ā§āĻ¸ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻā§āĻ° āĻĒāĻ° āĻāĻ āĻĒā§āĻ°āĻ¸ā§āĻ¸ āĻā§āĻ˛āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§ āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĻ° āĻŽāĻ§ā§āĻ¯ āĻĻāĻŋāĻ¯āĻŧā§ āĻ¯āĻžāĻ¨āĨ¤ āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻ¤āĻŋāĻ¨āĻŋ āĻĒā§āĻ°āĻĨāĻŽ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋ āĻā§āĻ˛āĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻ¨ "taskhost.exe".
āĻāĻžāĻ¤āĨ¤ 31: āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻĒā§āĻ¤ā§ āĻāĻ¤āĻŋāĻļā§āĻ˛āĻāĻžāĻŦā§ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻžāĻ˛āĻžāĻ¨
āĻāĻŽāĻ°āĻž āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻā§āĻāĻŋ āĻ¯ā§ āĻāĻāĻŋ āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§āĻ¤ā§ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻā§āĻā§āĻ¨ āĻ¤āĻĨā§āĻ¯ āĻĒāĻĄāĻŧā§, āĻ¤āĻžāĻ āĻāĻāĻŋ āĻāĻ˛ āĻāĻ°ā§ OpenProcessToken āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° āĻ¸āĻš "20008"
āĻāĻžāĻ¤āĨ¤ 32: āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻā§āĻā§āĻ¨ āĻ¤āĻĨā§āĻ¯ āĻĒāĻĄāĻŧā§āĻ¨
āĻāĻāĻŋ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°ā§ āĻ¯ā§ āĻāĻāĻŋ āĻ¯ā§ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¯āĻŧ āĻāĻ¨āĻā§āĻāĻļāĻ¨ āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻŦā§ āĻ¤āĻž āĻ¨āĻ¯āĻŧ csrss.exe, explorer.exe, lsaas.exe āĻ āĻĨāĻŦāĻž āĻ¤āĻžāĻ° āĻ āĻ§āĻŋāĻāĻžāĻ°ā§āĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻ āĻāĻā§ āĻāĻ¨āĻāĻŋ āĻāĻ°ā§āĻ¤ā§āĻĒāĻā§āĻˇ.
āĻāĻžāĻ¤āĨ¤ 33: āĻŦāĻ°ā§āĻāĻŋāĻ¤ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž
āĻāĻŽāĻ°āĻž āĻāĻ¤āĻŋāĻļā§āĻ˛āĻāĻžāĻŦā§ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻ°āĻŋ āĻāĻŋāĻāĻžāĻŦā§ āĻāĻāĻŋ āĻĒā§āĻ°āĻĨāĻŽā§ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻā§āĻā§āĻ¨ āĻ¤āĻĨā§āĻ¯ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻā§āĻāĻāĻŋ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°ā§ 140002D9C āĻ¯ā§ āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻā§āĻ° āĻ āĻ§āĻŋāĻāĻžāĻ° āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻžāĻ˛āĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻā§āĻā§ āĻ¸ā§āĻāĻŋ āĻāĻāĻāĻŋ āĻ ā§āĻ¯āĻžāĻāĻžāĻāĻ¨ā§āĻ āĻāĻŋāĻ¨āĻž āĻ¤āĻž āĻā§āĻāĻā§ āĻŦā§āĻ° āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻ¨āĻāĻŋ āĻāĻ°ā§āĻ¤ā§āĻĒāĻā§āĻˇ.
āĻāĻžāĻ¤āĨ¤ 34: āĻāĻ¨āĻāĻŋ āĻ
āĻĨā§āĻ°āĻŋāĻāĻŋ āĻā§āĻ
āĻāĻŦāĻ āĻĒāĻ°ā§, āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻ° āĻŦāĻžāĻāĻ°ā§, āĻ¤āĻŋāĻ¨āĻŋ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°ā§āĻ¨ āĻ¯ā§ āĻāĻāĻŋ āĻ¨āĻ¯āĻŧ csrss.exe, explorer.exe āĻŦāĻž lsaas.exe.
āĻāĻžāĻ¤āĨ¤ 35: āĻāĻ¨āĻāĻŋ āĻ
āĻĨā§āĻ°āĻŋāĻāĻŋ āĻā§āĻ
āĻāĻāĻŦāĻžāĻ° āĻ¤āĻŋāĻ¨āĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋāĻ° āĻāĻāĻāĻŋ āĻ¸ā§āĻ¨ā§āĻ¯āĻžāĻĒāĻļāĻ āĻ¨ā§āĻāĻ¯āĻŧāĻžāĻ° āĻĒāĻ°ā§, āĻĒā§āĻ°āĻ¸ā§āĻ¸āĻā§āĻ˛āĻŋ āĻā§āĻ˛ā§āĻ¨ āĻāĻŦāĻ āĻ¯āĻžāĻāĻžāĻ āĻāĻ°ā§āĻ¨ āĻ¯ā§ āĻ¸ā§āĻā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻā§āĻ¨āĻāĻāĻŋāĻ āĻŦāĻžāĻĻ āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻ¯āĻŧāĻ¨āĻŋ, āĻ¤āĻŋāĻ¨āĻŋ āĻ¯ā§ āĻĒā§āĻ°āĻ¸ā§āĻ¸āĻā§āĻ˛āĻŋāĻā§ āĻāĻ¨āĻā§āĻāĻļāĻ¨ āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻŦā§ āĻ¸ā§āĻā§āĻ˛āĻŋ āĻŽā§āĻŽāĻ°āĻŋāĻ¤ā§ āĻ˛āĻŋāĻāĻ¤ā§ āĻĒā§āĻ°āĻ¸ā§āĻ¤ā§āĻ¤ā§ˇ
āĻāĻāĻŋ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻāĻŋ āĻĒā§āĻ°āĻĨāĻŽā§ āĻŽā§āĻŽāĻ°āĻŋāĻ¤ā§ āĻāĻāĻāĻŋ āĻāĻ˛āĻžāĻāĻž āĻ¸āĻāĻ°āĻā§āĻˇāĻŖ āĻāĻ°ā§ (āĻāĻžāĻ°ā§āĻā§āĻ¯āĻŧāĻžāĻ˛āĻ ā§āĻ¯āĻžāĻ˛ā§āĻāĻāĻā§āĻ¸), āĻāĻ¤ā§ āĻ˛ā§āĻā§āĻ¨ (WriteProcessmemory) āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻĨā§āĻ°ā§āĻĄ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§ (āĻ°āĻŋāĻŽā§āĻ āĻĨā§āĻ°ā§āĻĄ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨) āĻāĻ āĻĢāĻžāĻāĻļāĻ¨āĻā§āĻ˛āĻŋāĻ° āĻ¸āĻžāĻĨā§ āĻāĻžāĻ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻŦāĻžāĻāĻŋāĻ¤ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋāĻ° āĻĒāĻŋāĻāĻāĻĄāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§, āĻ¯āĻž āĻāĻāĻŋ āĻāĻā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ CreateToolhelp32Snapshot.
āĻāĻžāĻ¤āĨ¤ 36: āĻāĻŽā§āĻŦā§āĻĄ āĻā§āĻĄ
āĻāĻāĻžāĻ¨ā§ āĻāĻŽāĻ°āĻž āĻāĻ¤āĻŋāĻļā§āĻ˛āĻāĻžāĻŦā§ āĻĒāĻ°ā§āĻ¯āĻŦā§āĻā§āĻˇāĻŖ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°āĻŋ āĻāĻŋāĻāĻžāĻŦā§ āĻāĻāĻŋ āĻĢāĻžāĻāĻļāĻ¨ āĻāĻ˛ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž PID āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻžāĻ°ā§āĻā§āĻ¯āĻŧāĻžāĻ˛āĻ ā§āĻ¯āĻžāĻ˛ā§āĻāĻāĻā§āĻ¸āĨ¤
āĻāĻžāĻ¤āĨ¤ 37: VirtualAllocEx āĻāĻ˛ āĻāĻ°ā§āĻ¨
5.4 āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨
āĻāĻ āĻŦāĻŋāĻāĻžāĻā§, āĻāĻŽāĻ°āĻž āĻāĻ āĻ¨āĻŽā§āĻ¨āĻžāĻ° āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻ
āĻāĻļāĻāĻŋ āĻĻā§āĻāĻŦāĨ¤ āĻ¨āĻŋāĻā§āĻ° āĻāĻŦāĻŋāĻ¤ā§ āĻāĻĒāĻ¨āĻŋ āĻĻā§āĻāĻŋ āĻ¸āĻžāĻŦāĻ°ā§āĻāĻŋāĻ¨ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻā§āĻā§āĻ¨ "LoadLibrary_EncodeString"āĻāĻŦāĻ"Encode_Func", āĻ¯āĻž āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻĒāĻĻā§āĻ§āĻ¤āĻŋ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĻāĻžāĻ¯āĻŧā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 38: āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻĒāĻĻā§āĻ§āĻ¤āĻŋ
āĻļā§āĻ°ā§āĻ¤ā§ āĻāĻŽāĻ°āĻž āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻā§āĻāĻŋ āĻāĻŋāĻāĻžāĻŦā§ āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻ¸ā§āĻā§āĻ°āĻŋāĻ āĻ˛ā§āĻĄ āĻāĻ°ā§ āĻ¯āĻž āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§āĻ¤ā§ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻ¸āĻŦāĻāĻŋāĻā§ āĻĄāĻŋāĻ āĻĢāĻ¸āĻā§āĻ āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻŦā§: āĻāĻŽā§āĻĒā§āĻ°ā§āĻ, āĻĄāĻŋāĻāĻ˛āĻāĻ˛, āĻāĻŽāĻžāĻ¨ā§āĻĄ, āĻĢāĻžāĻāĻ˛ āĻāĻŦāĻ āĻ¸āĻŋāĻāĻ¸āĻĒāĻŋāĨ¤
āĻāĻžāĻ¤āĨ¤ 39: Deobfuscation āĻ¸āĻžāĻ°ā§āĻāĻŋāĻ
āĻ¨āĻŋāĻā§āĻ° āĻāĻŋāĻ¤ā§āĻ°āĻāĻŋ āĻĒā§āĻ°āĻĨāĻŽ āĻāĻŽāĻĻāĻžāĻ¨āĻŋ āĻĻā§āĻāĻžāĻ¯āĻŧ āĻ¯āĻž āĻāĻāĻŋ āĻ°ā§āĻāĻŋāĻ¸ā§āĻāĻžāĻ° R4-āĻ deobfuscatesāĨ¤ āĻ˛ā§āĻĄāĻ˛āĻŋāĻŦāĻžāĻ°āĻŋ. āĻāĻāĻŋ āĻĒāĻ°ā§ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ DLL āĻ˛ā§āĻĄ āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻŦā§āĨ¤ āĻāĻŽāĻ°āĻž āĻ°ā§āĻāĻŋāĻ¸ā§āĻāĻžāĻ° R12-āĻ āĻāĻ°ā§āĻāĻāĻŋ āĻ˛āĻžāĻāĻ¨āĻ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻā§āĻāĻŋ, āĻ¯ā§āĻāĻŋ āĻĄāĻŋāĻ āĻĢāĻ¸āĻā§āĻļāĻ¨ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻā§āĻ° āĻ˛āĻžāĻāĻ¨ā§āĻ° āĻ¸āĻžāĻĨā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
āĻāĻžāĻ¤āĨ¤ 40: āĻāĻ¤āĻŋāĻļā§āĻ˛ deobfuscation
āĻāĻāĻŋ āĻŦā§āĻ¯āĻžāĻāĻāĻĒ āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻ¤ā§, āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻ°āĻ¤ā§ āĻāĻŦāĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻĻ āĻŦā§āĻ āĻŽā§āĻĄāĻā§āĻ˛āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§āĻ¤ā§ āĻāĻžāĻ˛āĻžāĻ¨ā§ āĻšāĻŦā§ āĻāĻŽāĻ¨ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻā§āĻ˛āĻŋ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°āĻž āĻāĻžāĻ˛āĻŋāĻ¯āĻŧā§ āĻ¯āĻžāĻā§āĻā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 41: āĻāĻŽāĻžāĻ¨ā§āĻĄ āĻ˛ā§āĻĄ āĻšāĻā§āĻā§
āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻāĻāĻŋ āĻ āĻŦāĻ¸ā§āĻĨāĻžāĻ¨āĻāĻŋ āĻ˛ā§āĻĄ āĻāĻ°ā§ āĻ¯ā§āĻāĻžāĻ¨ā§ āĻāĻāĻŋ 3āĻāĻŋ āĻĢāĻžāĻāĻ˛ āĻĄā§āĻ°āĻĒ āĻāĻ°āĻŦā§: Windows.bat, run.sct и start.bat.
āĻāĻžāĻ¤āĨ¤ 42: āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ
āĻŦāĻ¸ā§āĻĨāĻžāĻ¨
āĻāĻ 3āĻāĻŋ āĻĢāĻžāĻāĻ˛ āĻĒā§āĻ°āĻ¤āĻŋāĻāĻŋ āĻ āĻŦāĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ° āĻ¸ā§āĻŦāĻŋāĻ§āĻžāĻā§āĻ˛āĻŋ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧāĨ¤ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻ¸ā§āĻ¯ā§āĻ-āĻ¸ā§āĻŦāĻŋāĻ§āĻž āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻ¨āĻž āĻā§āĻ˛ā§, Ryuk āĻŽā§āĻ¤ā§āĻ¯ā§āĻĻāĻ¨ā§āĻĄ āĻŦāĻ¨ā§āĻ§ āĻāĻ°ā§ āĻĻā§āĻ¯āĻŧāĨ¤
āĻāĻāĻŋ āĻ¤āĻŋāĻ¨āĻāĻŋ āĻĢāĻžāĻāĻ˛ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻāĻŋāĻ¤ āĻ˛āĻžāĻāĻ¨āĻā§āĻ˛āĻŋ āĻ˛ā§āĻĄ āĻāĻ°āĻ¤ā§ āĻĨāĻžāĻā§āĨ¤ āĻĒā§āĻ°āĻĨāĻŽ, DECRYPT_INFORMATION.html, āĻĢāĻžāĻāĻ˛ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻ¤āĻĨā§āĻ¯ āĻ°āĻ¯āĻŧā§āĻā§āĨ¤ āĻĻā§āĻŦāĻŋāĻ¤ā§āĻ¯āĻŧ, āĻĒāĻžāĻŦāĻ˛āĻŋāĻ, RSA āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§ āĻ§āĻžāĻ°āĻŖ āĻāĻ°ā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 43: āĻ˛āĻžāĻāĻ¨ āĻĄāĻŋāĻā§āĻ°āĻŋāĻĒā§āĻ INFORMATION.html
āĻ¤ā§āĻ¤ā§āĻ¯āĻŧ, UNIQUE_ID_DO_NOT_REMOVE, āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻā§ āĻ°āĻ¯āĻŧā§āĻā§ āĻ¯āĻž āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻ°ā§āĻāĻŋāĻ¨ā§ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻŦā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 44: āĻ˛āĻžāĻāĻ¨ āĻāĻāĻ¨āĻŋāĻ āĻāĻāĻĄāĻŋ āĻŽā§āĻā§ āĻĢā§āĻ˛āĻŦā§āĻ¨ āĻ¨āĻž
āĻ āĻŦāĻļā§āĻˇā§, āĻāĻāĻŋ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻāĻŽāĻĻāĻžāĻ¨āĻŋ āĻāĻŦāĻ CSPs āĻ¸āĻš āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°ā§ (āĻŽāĻžāĻāĻā§āĻ°ā§āĻ¸āĻĢāĻ āĻāĻ¨ā§āĻ¨āĻ¤ RSA и AES āĻā§āĻ°āĻŋāĻĒā§āĻā§āĻā§āĻ°āĻžāĻĢāĻŋāĻ āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§).
āĻāĻžāĻ¤āĨ¤ 45: āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋ āĻ˛ā§āĻĄ āĻšāĻā§āĻā§
āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻĄāĻŋāĻ
āĻĢāĻ¸āĻā§āĻļāĻ¨ āĻ¸āĻŽā§āĻĒāĻ¨ā§āĻ¨ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻĒāĻ°ā§, āĻāĻāĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻ¯āĻŧā§āĻāĻ¨ā§āĻ¯āĻŧ āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°āĻ¤ā§ āĻāĻāĻŋāĻ¯āĻŧā§ āĻ¯āĻžāĻ¯āĻŧ: āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ˛āĻāĻŋāĻā§āĻ¯āĻžāĻ˛ āĻĄā§āĻ°āĻžāĻāĻā§āĻ° āĻāĻŖāĻ¨āĻž āĻāĻ°āĻž, āĻāĻā§āĻ° āĻ°ā§āĻāĻŋāĻ¨ā§ āĻ¯āĻž āĻ˛ā§āĻĄ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ āĻ¤āĻž āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻž, āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ āĻļāĻā§āĻ¤āĻŋāĻļāĻžāĻ˛ā§ āĻāĻ°āĻž, RyukReadMe.html āĻĢāĻžāĻāĻ˛ āĻ¨āĻŋāĻā§āĻˇā§āĻĒ āĻāĻ°āĻž, āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨, āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻĄā§āĻ°āĻžāĻāĻ āĻāĻŖāĻ¨āĻž āĻāĻ°āĻž , āĻ¸āĻ¨āĻžāĻā§āĻ¤ āĻāĻ°āĻž āĻĄāĻŋāĻāĻžāĻāĻ¸ā§ āĻ¸ā§āĻĨāĻžāĻ¨āĻžāĻ¨ā§āĻ¤āĻ° āĻāĻŦāĻ āĻ¤āĻžāĻĻā§āĻ° āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨āĨ¤
āĻāĻāĻž āĻ¸āĻŦ āĻ˛ā§āĻĄāĻŋāĻ āĻĻāĻŋāĻ¯āĻŧā§ āĻļā§āĻ°ā§ āĻšāĻ¯āĻŧ"cmd.exe" āĻāĻŦāĻ RSA āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻā§ āĻ°ā§āĻāĻ°ā§āĻĄāĨ¤
āĻāĻžāĻ¤āĨ¤ 46: āĻāĻ¨āĻā§āĻ°āĻŋāĻĒāĻļāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻĒā§āĻ°āĻ¸ā§āĻ¤ā§āĻ¤āĻŋ
āĻ¤āĻžāĻ°āĻĒāĻ° āĻāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ˛āĻāĻŋāĻā§āĻ¯āĻžāĻ˛ āĻĄā§āĻ°āĻžāĻāĻ āĻĒāĻžāĻ¯āĻŧ āĻ˛āĻāĻŋāĻā§āĻ¯āĻžāĻ˛ āĻĄā§āĻ°āĻžāĻāĻāĻ¸ āĻĒāĻžāĻ¨ āĻāĻŦāĻ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻŦā§āĻ¯āĻžāĻāĻāĻĒ, āĻĒāĻ¯āĻŧā§āĻ¨ā§āĻ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻŦāĻ āĻ¨āĻŋāĻ°āĻžāĻĒāĻĻ āĻŦā§āĻ āĻŽā§āĻĄ āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°ā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 47: āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ°ā§āĻ° āĻ¸āĻ°āĻā§āĻāĻžāĻŽ āĻ¨āĻŋāĻˇā§āĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻž
āĻāĻ° āĻĒāĻ°ā§, āĻāĻāĻŋ āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽā§ āĻ¤āĻžāĻ° āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ āĻļāĻā§āĻ¤āĻŋāĻļāĻžāĻ˛ā§ āĻāĻ°ā§, āĻ¯ā§āĻŽāĻ¨āĻāĻŋ āĻāĻŽāĻ°āĻž āĻāĻĒāĻ°ā§ āĻĻā§āĻā§āĻāĻŋ āĻāĻŦāĻ āĻĒā§āĻ°āĻĨāĻŽ āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻ˛ā§āĻā§ RyukReadMe.html в āĻā§āĻŽā§āĻĒ.
āĻāĻžāĻ¤āĨ¤ 48: āĻŽā§āĻā§āĻ¤āĻŋāĻĒāĻŖā§āĻ° āĻ¨ā§āĻāĻŋāĻļ āĻĒā§āĻ°āĻāĻžāĻļ āĻāĻ°āĻž
āĻ¨āĻŋāĻā§āĻ° āĻāĻŦāĻŋāĻ¤ā§ āĻāĻĒāĻ¨āĻŋ āĻĻā§āĻāĻ¤ā§ āĻĒāĻžāĻā§āĻā§āĻ¨ āĻāĻŋāĻāĻžāĻŦā§ āĻāĻāĻŋ āĻāĻāĻāĻŋ āĻĢāĻžāĻāĻ˛ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§, āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻĄāĻžāĻāĻ¨āĻ˛ā§āĻĄ āĻāĻ°ā§ āĻāĻŦāĻ āĻ˛āĻŋāĻā§:
āĻāĻžāĻ¤āĨ¤ 49: āĻĢāĻžāĻāĻ˛ā§āĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻ˛ā§āĻĄ āĻāĻ°āĻž āĻāĻŦāĻ āĻ˛ā§āĻāĻž
āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻĄāĻŋāĻāĻžāĻāĻ¸ā§ āĻāĻāĻ āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°āĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻ¤āĻŋāĻ¨āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻ¨
"icacls.exe", āĻ¯ā§āĻŽāĻ¨ āĻāĻŽāĻ°āĻž āĻāĻĒāĻ°ā§ āĻĻā§āĻāĻŋāĻ¯āĻŧā§āĻāĻŋāĨ¤
āĻāĻžāĻ¤āĨ¤ 50: icalcls.exe āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž
āĻāĻŦāĻ āĻ āĻŦāĻļā§āĻˇā§, āĻāĻāĻŋ "*.exe", "*.dll" āĻĢāĻžāĻāĻ˛, āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻĢāĻžāĻāĻ˛ āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻ¸āĻžāĻĻāĻž āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĻ° āĻāĻāĻžāĻ°ā§ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻ°āĻž āĻ āĻ¨ā§āĻ¯āĻžāĻ¨ā§āĻ¯ āĻ āĻŦāĻ¸ā§āĻĨāĻžāĻ¨āĻā§āĻ˛āĻŋ āĻāĻžāĻĄāĻŧāĻž āĻĢāĻžāĻāĻ˛āĻā§āĻ˛āĻŋāĻā§ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž āĻļā§āĻ°ā§ āĻāĻ°ā§ā§ˇ āĻāĻāĻŋ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻāĻŋ āĻāĻŽāĻĻāĻžāĻ¨āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§: CryptAcquireContextW (āĻ¯ā§āĻāĻžāĻ¨ā§ AES āĻāĻŦāĻ RSA āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻ°āĻž āĻāĻā§), CryptDeriveKey, CryptGenKey, CryptDestroyKey āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ āĻāĻāĻŋ WNetEnumResourceW āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻŦāĻŋāĻˇā§āĻā§āĻ¤ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻĄāĻŋāĻāĻžāĻāĻ¸āĻā§āĻ˛āĻŋāĻ¤ā§ āĻ¤āĻžāĻ° āĻ¨āĻžāĻāĻžāĻ˛ āĻĒā§āĻ°āĻ¸āĻžāĻ°āĻŋāĻ¤ āĻāĻ°āĻžāĻ° āĻā§āĻˇā§āĻāĻž āĻāĻ°ā§ āĻāĻŦāĻ āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻ¸ā§āĻā§āĻ˛āĻŋāĻā§ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°ā§āĨ¤
āĻāĻžāĻ¤āĨ¤ 51: āĻ¸āĻŋāĻ¸ā§āĻā§āĻŽ āĻĢāĻžāĻāĻ˛ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž
6. āĻāĻŽāĻĻāĻžāĻ¨āĻŋ āĻāĻŦāĻ āĻ¸āĻāĻļā§āĻ˛āĻŋāĻˇā§āĻ āĻĒāĻ¤āĻžāĻāĻž
āĻ¨ā§āĻā§ āĻ¨āĻŽā§āĻ¨āĻž āĻĻā§āĻŦāĻžāĻ°āĻž āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻĒā§āĻ°āĻžāĻ¸āĻā§āĻāĻŋāĻ āĻāĻŽāĻĻāĻžāĻ¨āĻŋ āĻāĻŦāĻ āĻĒāĻ¤āĻžāĻāĻžāĻā§āĻ˛āĻŋāĻ° āĻ¤āĻžāĻ˛āĻŋāĻāĻžāĻā§āĻā§āĻ¤ āĻāĻāĻāĻŋ āĻā§āĻŦāĻŋāĻ˛ āĻ°āĻ¯āĻŧā§āĻā§:
7. āĻāĻāĻāĻ¸āĻŋ
āĻ°ā§āĻĢāĻžāĻ°ā§āĻ¨ā§āĻ¸
- userPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
āĻ
ā§āĻ¯āĻžāĻ¨ā§āĻāĻŋāĻāĻžāĻāĻ°āĻžāĻ¸ āĻ˛ā§āĻ¯āĻžāĻŦāĻ°ā§āĻāĻ°āĻŋ PandaLabs-āĻāĻ° āĻŦāĻŋāĻļā§āĻˇāĻā§āĻāĻ°āĻž Ryuk ransomware-āĻāĻ° āĻāĻĒāĻ° āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋāĻāĻ¤ āĻ°āĻŋāĻĒā§āĻ°ā§āĻ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻā§āĻ¨āĨ¤
8. āĻ˛āĻŋāĻā§āĻ
1. âEveris y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.â https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019āĨ¤
2. "Un virus de origen ruso ataca a importantes empresas espaÃąolas." https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. "VB2019 āĻāĻžāĻāĻ: Shinigami's revenge: the long tail of Ryuk malware." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "āĻŦāĻŋāĻ āĻā§āĻŽ āĻšāĻžāĻ¨ā§āĻāĻŋāĻ āĻāĻāĻĨ āĻ°āĻŋāĻāĻ: āĻāĻ°ā§āĻāĻāĻŋ āĻ˛āĻžāĻāĻāĻ¨āĻ āĻāĻžāĻ°ā§āĻā§āĻā§āĻĄ āĻ°ā§āĻ¯āĻžāĻ¨āĻ¸āĻŽāĻāĻ¯āĻŧā§āĻ¯āĻžāĻ°āĨ¤" https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019āĨ¤
5. "VB2019 āĻāĻžāĻāĻ: Shinigami's revenge: the long tail of Ryuk malware." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
āĻāĻ¤ā§āĻ¸: www.habr.com