Ryuk yw un o'r opsiynau ransomware enwocaf yn ystod yr ychydig flynyddoedd diwethaf. Ers iddo ymddangos gyntaf yn haf 2018, mae wedi casglu , yn enwedig yn yr amgylchedd busnes, sef prif darged ei ymosodiadau.
1. gwybodaeth gyffredinol
Mae'r ddogfen hon yn cynnwys dadansoddiad o'r amrywiad Ryuk ransomware, yn ogystal â'r llwythwr sy'n gyfrifol am lwytho'r malware i'r system.
Ymddangosodd y ransomware Ryuk gyntaf yn ystod haf 2018. Un o'r gwahaniaethau rhwng Ryuk a ransomware eraill yw ei fod wedi'i anelu at ymosod ar amgylcheddau corfforaethol.
Yng nghanol 2019, ymosododd grwpiau seiberdroseddol ar nifer enfawr o gwmnïau o Sbaen gan ddefnyddio'r ransomware hwn.
Reis. 1: Detholiad o El Confidencial ynghylch ymosodiad ransomware Ryuk [1]
Reis. 2: Dyfyniad o El País am ymosodiad a wnaed gan ddefnyddio'r Ryuk ransomware [2]
Eleni, mae Ryuk wedi ymosod ar nifer fawr o gwmnïau mewn gwahanol wledydd. Fel y gwelwch yn y ffigurau isod, yr Almaen, Tsieina, Algeria ac India gafodd yr ergyd galetaf.
Trwy gymharu nifer yr ymosodiadau seiber, gallwn weld bod Ryuk wedi effeithio ar filiynau o ddefnyddwyr ac wedi peryglu llawer iawn o ddata, gan arwain at golled economaidd difrifol.
Reis. 3: Darlun o weithgaredd byd-eang Ryuk.
Reis. 4: 16 o wledydd yr effeithir arnynt fwyaf gan Ryuk
Reis. 5: Nifer y defnyddwyr yr ymosodwyd arnynt gan Ryuk ransomware (mewn miliynau)
Yn ôl egwyddor gweithredu arferol bygythiadau o'r fath, mae'r ransomware hwn, ar ôl i'r amgryptio gael ei gwblhau, yn dangos hysbysiad pridwerth i'r dioddefwr y mae'n rhaid ei dalu mewn bitcoins i'r cyfeiriad penodedig i adfer mynediad i'r ffeiliau wedi'u hamgryptio.
Mae'r malware hwn wedi newid ers iddo gael ei gyflwyno gyntaf.
Darganfuwyd yr amrywiad ar y bygythiad hwn a ddadansoddwyd yn y ddogfen hon yn ystod ymgais i ymosod ym mis Ionawr 2020.
Oherwydd ei gymhlethdod, mae'r malware hwn yn aml yn cael ei briodoli i grwpiau seiberdroseddol trefniadol, a elwir hefyd yn grwpiau APT.
Mae gan ran o god Ryuk debygrwydd amlwg i god a strwythur nwyddau pridwerth adnabyddus arall, Hermes, y maent yn rhannu nifer o swyddogaethau unfath â nhw. Dyna pam y cysylltwyd Ryuk i ddechrau â'r grŵp o Ogledd Corea Lazarus, a oedd ar y pryd yn cael ei amau o fod y tu ôl i'r Hermes ransomware.
Yn dilyn hynny, nododd gwasanaeth Falcon X CrowdStrike fod Ryuk mewn gwirionedd wedi'i greu gan y grŵp WIZARD SPIDER [4].
Mae rhywfaint o dystiolaeth i gefnogi'r dybiaeth hon. Yn gyntaf, hysbysebwyd y ransomware hwn ar y wefan exploit.in, sy'n farchnad malware Rwsia adnabyddus ac sydd wedi bod yn gysylltiedig â rhai grwpiau APT Rwsiaidd yn flaenorol.
Mae'r ffaith hon yn diystyru'r ddamcaniaeth y gallai grŵp APT Lasarus fod wedi datblygu Ryuk, oherwydd nid yw'n cyd-fynd â'r ffordd y mae'r grŵp yn gweithredu.
Yn ogystal, hysbysebwyd Ryuk fel nwyddau pridwerth na fydd yn gweithio ar systemau Rwsiaidd, Wcreineg a Belarwseg. Mae'r ymddygiad hwn yn cael ei bennu gan nodwedd a geir mewn rhai fersiynau o Ryuk, lle mae'n gwirio iaith y system y mae'r ransomware yn rhedeg arni ac yn ei atal rhag rhedeg os oes gan y system iaith Rwsieg, Wcreineg neu Belarwseg. Yn olaf, datgelodd dadansoddiad arbenigol o’r peiriant a gafodd ei hacio gan dîm WIZARD SPIDER sawl “arteffact” yr honnir eu bod wedi’u defnyddio yn natblygiad Ryuk fel amrywiad o ransomware Hermes.
Ar y llaw arall, awgrymodd yr arbenigwyr Gabriela Nicolao a Luciano Martins y gallai'r ransomware fod wedi'i ddatblygu gan y grŵp APT CryptoTech [5].
Mae hyn yn dilyn o'r ffaith bod y grŵp hwn, sawl mis cyn ymddangosiad Ryuk, wedi postio gwybodaeth ar fforwm yr un wefan eu bod wedi datblygu fersiwn newydd o'r Hermes ransomware.
Roedd sawl defnyddiwr fforwm yn cwestiynu a oedd CryptoTech wedi creu Ryuk mewn gwirionedd. Yna amddiffynnodd y grŵp ei hun a datgan bod ganddo dystiolaeth eu bod wedi datblygu 100% o'r nwyddau pridwerth.
2. Nodweddion
Dechreuwn gyda'r cychwynnwr, a'i waith yw nodi'r system y mae arni fel y gellir lansio'r fersiwn “cywir” o'r Ryuk ransomware.
Mae'r hash cychwynnwr fel a ganlyn:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Un o nodweddion y lawrlwythwr hwn yw nad yw'n cynnwys unrhyw fetadata, h.y. Nid yw crewyr y malware hwn wedi cynnwys unrhyw wybodaeth ynddo.
Weithiau maent yn cynnwys data gwallus i dwyllo'r defnyddiwr i feddwl ei fod yn rhedeg rhaglen gyfreithlon. Fodd bynnag, fel y gwelwn yn ddiweddarach, os nad yw'r haint yn cynnwys rhyngweithio â defnyddwyr (fel sy'n wir am y ransomware hwn), yna nid yw ymosodwyr yn ystyried bod angen defnyddio metadata.
Reis. 6: Sampl Meta Data
Casglwyd y sampl mewn fformat 32-did fel y gall redeg ar systemau 32-bit a 64-bit.
3. Treiddiad fector
Aeth y sampl sy'n lawrlwytho ac yn rhedeg Ryuk i mewn i'n system trwy gysylltiad anghysbell, a chafwyd y paramedrau mynediad trwy ymosodiad RDP rhagarweiniol.
Reis. 7: Cofrestr Ymosodiadau
Llwyddodd yr ymosodwr i fewngofnodi i'r system o bell. Ar ôl hynny, creodd ffeil gweithredadwy gyda'n sampl.
Cafodd y ffeil gweithredadwy hon ei rhwystro gan ddatrysiad gwrthfeirws cyn rhedeg.
Reis. 8: Clo patrwm
Reis. 9: Clo patrwm
Pan gafodd y ffeil faleisus ei rhwystro, ceisiodd yr ymosodwr lawrlwytho fersiwn wedi'i hamgryptio o'r ffeil gweithredadwy, a gafodd ei rhwystro hefyd.
Reis. 10: Set o samplau y ceisiodd yr ymosodwr eu rhedeg
Yn olaf, ceisiodd lawrlwytho ffeil maleisus arall trwy'r consol wedi'i amgryptio
PowerShell i osgoi amddiffyniad gwrthfeirws. Ond cafodd ei rwystro hefyd.
Reis. 11: PowerShell gyda chynnwys maleisus wedi'i rwystro
Reis. 12: PowerShell gyda chynnwys maleisus wedi'i rwystro
4. Llwythwr
Pan fydd yn gweithredu, mae'n ysgrifennu ffeil ReadMe i'r ffolder % temp%, sy'n nodweddiadol i Ryuk. Mae'r ffeil hon yn nodyn pridwerth sy'n cynnwys cyfeiriad e-bost yn y parth protonmail, sy'n eithaf cyffredin yn y teulu malware hwn: [e-bost wedi'i warchod]
Reis. 13: Galw pridwerth
Tra bod y cychwynnwr yn rhedeg, gallwch weld ei fod yn lansio sawl ffeil gweithredadwy gydag enwau ar hap. Maent yn cael eu storio mewn ffolder cudd CYHOEDDUS, ond os nad yw'r opsiwn yn weithredol yn y system weithredu "Dangos ffeiliau a ffolderi cudd", yna byddant yn aros yn gudd. Ar ben hynny, mae'r ffeiliau hyn yn 64-bit, yn wahanol i'r ffeil rhiant, sef 32-bit.
Reis. 14: Ffeiliau gweithredadwy a lansiwyd gan y sampl
Fel y gwelwch yn y ddelwedd uchod, mae Ryuk yn lansio icacls.exe, a fydd yn cael ei ddefnyddio i addasu pob ACL (rhestrau rheoli mynediad), gan sicrhau mynediad ac addasu baneri.
Mae'n cael mynediad llawn o dan bob defnyddiwr i'r holl ffeiliau ar y ddyfais (/T) waeth beth fo'r gwallau (/C) a heb ddangos unrhyw negeseuon (/Q).
Reis. 15: Paramedrau gweithredu icacls.exe a lansiwyd gan y sampl
Mae'n bwysig nodi bod Ryuk yn gwirio pa fersiwn o Windows rydych chi'n ei rhedeg. Am hyn efe
yn perfformio gwiriad fersiwn gan ddefnyddio GetVersionExW, lle mae'n gwirio gwerth y faner lpVersionGwybodaethyn nodi a yw'r fersiwn gyfredol o Windows yn fwy newydd na Ffenestri XP.
Yn dibynnu a ydych chi'n rhedeg fersiwn yn hwyrach na Windows XP, bydd y cychwynnydd yn ysgrifennu i'r ffolder defnyddiwr lleol - yn yr achos hwn i'r ffolder % cyhoeddus.
Reis. 17: Gwirio fersiwn y system weithredu
Y ffeil sy'n cael ei hysgrifennu yw Ryuk. Yna mae'n ei redeg, gan basio ei gyfeiriad ei hun fel paramedr.
Reis. 18: Dienyddio Ryuk trwy ShellExecute
Y peth cyntaf y mae Ryuk yn ei wneud yw derbyn y paramedrau mewnbwn. Y tro hwn mae dau baramedr mewnbwn (y gweithredadwy ei hun a'r cyfeiriad gollwng) a ddefnyddir i gael gwared ar ei olion ei hun.
Reis. 19: Creu Proses
Gallwch hefyd weld, unwaith y bydd wedi rhedeg ei weithrediadau, ei fod yn dileu ei hun, gan adael dim olion o'i bresenoldeb ei hun yn y ffolder lle cafodd ei weithredu.
Reis. 20: Dileu ffeil
5. RYUK
5.1 Presenoldeb
Mae Ryuk, fel meddalwedd maleisus arall, yn ceisio aros ar y system cyhyd â phosib. Fel y dangosir uchod, un ffordd o gyflawni'r nod hwn yw creu a rhedeg ffeiliau gweithredadwy yn gyfrinachol. I wneud hyn, yr arfer mwyaf cyffredin yw newid allwedd y gofrestrfa CurrentVersionRun.
Yn yr achos hwn, gallwch weld mai at y diben hwn y ffeil gyntaf i gael ei lansio VWjRF.exe
(enw ffeil yn cael ei gynhyrchu ar hap) yn lansio cmd.exe.
Reis. 21: Gweithredu VWjRF.exe
Yna rhowch y gorchymyn RUN Gyda'r enw "svchosFelly, os ydych am wirio bysellau'r gofrestrfa ar unrhyw adeg, gallwch chi golli'r newid hwn yn hawdd, o ystyried tebygrwydd yr enw hwn i svchost. Diolch i'r allwedd hon, mae Ryuk yn sicrhau ei bresenoldeb yn y system. Os nad yw'r system wedi eto wedi'i heintio, yna pan fyddwch yn ailgychwyn y system, bydd y gweithredadwy yn ceisio eto.
Reis. 22: Mae'r sampl yn sicrhau presenoldeb yn allwedd y gofrestrfa
Gallwn hefyd weld bod y gweithredadwy hon yn atal dau wasanaeth:
"adeiladwr pwynt sain", sydd, fel y mae ei enw'n awgrymu, yn cyfateb i sain system,
Reis. 23: Sampl yn atal y gwasanaeth sain system
и Samss, sy'n wasanaeth rheoli cyfrifon. Mae atal y ddau wasanaeth hyn yn nodwedd o Ryuk. Yn yr achos hwn, os yw'r system wedi'i chysylltu â system SIEM, mae'r ransomware yn ceisio rhoi'r gorau i anfon i unrhyw rybuddion. Yn y modd hwn, mae'n amddiffyn ei gamau nesaf gan na fydd rhai gwasanaethau SAM yn gallu dechrau eu gwaith yn gywir ar ôl gweithredu Ryuk.
Reis. 24: Sampl yn stopio gwasanaeth Samss
5.2 Breintiau
A siarad yn gyffredinol, mae Ryuk yn dechrau trwy symud yn ochrol o fewn y rhwydwaith neu caiff ei lansio gan ddrwgwedd arall fel neu , sydd, os bydd braint yn cynyddu, yn trosglwyddo'r hawliau dyrchafedig hyn i'r ransomware.
O flaen llaw, fel rhagarweiniad i'r broses weithredu, gwelwn ef yn cyflawni'r broses DynwaredHunan, sy'n golygu y bydd cynnwys diogelwch y tocyn mynediad yn cael ei drosglwyddo i'r ffrwd, lle bydd yn cael ei adfer ar unwaith gan ddefnyddio GetCurrentThread.
Reis. 25: Ffoniwch ImpersonateSelf
Yna gwelwn y bydd yn cysylltu tocyn mynediad ag edefyn. Gwelwn hefyd mai un o'r baneri yw Mynediad Dymunol, y gellir ei ddefnyddio i reoli mynediad yr edefyn. Yn yr achos hwn dylai'r gwerth y bydd edx yn ei dderbyn fod TOKEN_ALL_ACES neu fel arall - TOKEN_WRITE.
Reis. 26: Creu Tocyn Llif
Yna bydd yn defnyddio SeDebugPrivilege a bydd yn gwneud galwad i gael caniatâd Debug ar yr edefyn, gan arwain at PROCESS_ALL_ACCESS, bydd yn gallu cyrchu unrhyw broses ofynnol. Nawr, o ystyried bod gan yr amgryptio ffrwd wedi'i pharatoi eisoes, y cyfan sydd ar ôl yw symud ymlaen i'r cam olaf.
Reis. 27: Galw SeDebugPrivilege a Swyddogaeth Dwysáu Braint
Ar y naill law, mae gennym LookupPrivilegeValueW, sy'n rhoi'r wybodaeth angenrheidiol i ni am y breintiau yr ydym am eu cynyddu.
Reis. 28: Gofyn am wybodaeth am freintiau ar gyfer cynyddu braint
Ar y llaw arall, mae gennym ni Breintiau AdjustToken, sy'n ein galluogi i gael yr hawliau angenrheidiol i'n ffrwd. Yn yr achos hwn, y peth pwysicaf yw Talaith Newydd, y bydd ei faner yn rhoi breintiau.
Reis. 29: Sefydlu caniatâd ar gyfer tocyn
5.3 Gweithredu
Yn yr adran hon, byddwn yn dangos sut mae'r sampl yn perfformio'r broses weithredu y soniwyd amdani eisoes yn yr adroddiad hwn.
Prif nod y broses weithredu, yn ogystal ag uwchgyfeirio, yw cael mynediad i copiau cysgodol. I wneud hyn, mae angen iddo weithio gydag edefyn gyda hawliau uwch na rhai'r defnyddiwr lleol. Unwaith y bydd yn ennill hawliau mor uchel, bydd yn dileu copïau ac yn gwneud newidiadau i brosesau eraill er mwyn ei gwneud yn amhosibl dychwelyd i bwynt adfer cynharach yn y system weithredu.
Fel sy'n nodweddiadol gyda'r math hwn o malware, mae'n defnyddio CreateToolHelp32 Ciplunfelly mae'n cymryd cipolwg o'r prosesau sy'n rhedeg ar hyn o bryd ac yn ceisio cael mynediad at y prosesau hynny gan ddefnyddio Proses Agored. Unwaith y bydd yn cael mynediad i'r broses, mae hefyd yn agor tocyn gyda'i wybodaeth i gael paramedrau'r broses.
Reis. 30: Adalw prosesau o gyfrifiadur
Gallwn weld yn ddeinamig sut mae'n cael y rhestr o brosesau rhedeg yn 140002D9C arferol gan ddefnyddio CreateToolhelp32Snapshot. Ar ôl eu derbyn, mae'n mynd trwy'r rhestr, gan geisio agor prosesau fesul un gan ddefnyddio OpenProcess nes iddo lwyddo. Yn yr achos hwn, y broses gyntaf y llwyddodd i agor oedd "taskhost.exe".
Reis. 31: Gweithredu Gweithdrefn i Gael Proses yn Ddeinamig
Gallwn weld ei fod wedyn yn darllen y wybodaeth tocyn proses, felly mae'n galw OpenProcessToken gyda pharamedr"20008"
Reis. 32: Darllen gwybodaeth tocyn proses
Mae hefyd yn gwirio nad yw'r broses y bydd yn cael ei chwistrellu iddi csrss.exe, explorer.exe, lsaas.exe neu fod ganddo set o hawliau Awdurdod NT.
Reis. 33: Prosesau wedi'u heithrio
Gallwn weld yn ddeinamig sut mae'n perfformio'r gwiriad gyntaf gan ddefnyddio'r wybodaeth tocyn proses i mewn 140002D9C er mwyn darganfod a yw'r cyfrif y mae ei hawliau'n cael ei ddefnyddio i weithredu proses yn gyfrif AWDURDOD NT.
Reis. 34: Gwiriad AWDURDOD NT
Ac yn ddiweddarach, y tu allan i'r weithdrefn, mae'n gwirio nad yw hyn yn wir csrss.exe, explorer.exe neu lsaas.exe.
Reis. 35: Gwiriad AWDURDOD NT
Unwaith y bydd wedi cymryd cipolwg o'r prosesau, agor y prosesau, a gwirio nad oes yr un ohonynt wedi'u heithrio, mae'n barod i ysgrifennu i'w gof y prosesau a fydd yn cael eu chwistrellu.
I wneud hyn, yn gyntaf mae'n cadw ardal yn y cof (RhithAllocEx), yn ysgrifennu i mewn iddo (WriteProcessmemory) ac yn creu edefyn (CreateRemoteThread). I weithio gyda'r swyddogaethau hyn, mae'n defnyddio PIDs y prosesau dethol, y mae wedi'u cael yn flaenorol gan ddefnyddio CreateToolhelp32 Ciplun.
Reis. 36: Mewnosod cod
Yma gallwn arsylwi'n ddeinamig sut mae'n defnyddio'r broses PID i alw'r swyddogaeth RhithAllocEx.
Reis. 37: Ffoniwch VirtualAllocEx
5.4 Amgryptio
Yn yr adran hon, byddwn yn edrych ar y rhan amgryptio o'r sampl hwn. Yn y llun canlynol gallwch weld dwy is-reolwaith o'r enw "LoadLibrary_EncodeString" A "Amgodio_Func", sy'n gyfrifol am berfformio'r weithdrefn amgryptio.
Reis. 38: Gweithdrefnau amgryptio
Ar y dechrau, gallwn weld sut mae'n llwytho llinyn a fydd yn cael ei ddefnyddio'n ddiweddarach i ddatgymalu popeth sydd ei angen: mewnforion, DLLs, gorchmynion, ffeiliau a CSPs.
Reis. 39: Deobfuscation cylched
Mae'r ffigur a ganlyn yn dangos y mewnforio cyntaf y mae'n ei ddarfodi yng nghofrestr R4. Llwyth Llyfrgell. Defnyddir hwn yn ddiweddarach i lwytho'r DLLs gofynnol. Gallwn hefyd weld llinell arall yn y gofrestr R12, sy'n cael ei defnyddio ynghyd â'r llinell flaenorol i berfformio deobfuscation.
Reis. 40: Deobfuscation deinamig
Mae'n parhau i lawrlwytho gorchmynion y bydd yn rhedeg yn ddiweddarach i analluogi copïau wrth gefn, adfer pwyntiau, a dulliau cychwyn diogel.
Reis. 41: Llwytho gorchmynion
Yna mae'n llwytho'r lleoliad lle bydd yn gollwng 3 ffeil: Windows.bat, rhedeg.sct и cychwyn.bat.
Reis. 42: Lleoliadau Ffeil
Defnyddir y 3 ffeil hyn i wirio'r breintiau sydd gan bob lleoliad. Os nad yw'r breintiau gofynnol ar gael, mae Ryuk yn rhoi'r gorau i'w ddienyddio.
Mae'n parhau i lwytho'r llinellau sy'n cyfateb i'r tair ffeil. Yn gyntaf, DECRYPT_INFORMATION.html, yn cynnwys gwybodaeth angenrheidiol i adennill ffeiliau. Yn ail, CYHOEDDUS, yn cynnwys allwedd gyhoeddus RSA.
Reis. 43: Llinell DECRYPT INFORMATION.html
Yn drydydd, UNIQUE_ID_DO_NOT_REMOVE, yn cynnwys yr allwedd wedi'i hamgryptio a ddefnyddir yn y drefn nesaf i gyflawni'r amgryptio.
Reis. 44: Llinell ID UNIGRYW PEIDIWCH Â TYNNU
Yn olaf, mae'n lawrlwytho'r llyfrgelloedd gofynnol ynghyd â'r mewnforion a'r CSPs gofynnol (RSA Gwell gan Microsoft и Darparwr Cryptograffig AES).
Reis. 45: Llwytho llyfrgelloedd
Ar ôl i'r holl ddatgymalu gael ei gwblhau, mae'n mynd ymlaen i gyflawni'r camau gweithredu sy'n ofynnol ar gyfer amgryptio: rhifo'r holl yriannau rhesymegol, gweithredu'r hyn a lwythwyd yn y drefn flaenorol, cryfhau presenoldeb yn y system, taflu'r ffeil RyukReadMe.html, amgryptio, rhifo'r holl yriannau rhwydwaith , trosglwyddo i ddyfeisiau a ganfuwyd a'u hamgryptio.
Mae'r cyfan yn dechrau gyda llwytho"cmd.exe" a chofnodion allweddi cyhoeddus RSA.
Reis. 46: Paratoi ar gyfer amgryptio
Yna mae'n cael yr holl gyriannau rhesymegol gan ddefnyddio GetLogicalDrives ac yn analluogi pob copi wrth gefn, pwyntiau adfer a moddau cychwyn diogel.
Reis. 47: Dadactifadu offer adfer
Ar ôl hynny, mae'n cryfhau ei bresenoldeb yn y system, fel y gwelsom uchod, ac yn ysgrifennu'r ffeil gyntaf RyukReadMe.html в TEMP.
Reis. 48: Cyhoeddi hysbysiad pridwerth
Yn y llun canlynol gallwch weld sut mae'n creu ffeil, lawrlwytho'r cynnwys a'i ysgrifennu:
Reis. 49: Llwytho ac ysgrifennu cynnwys ffeil
Er mwyn gallu cyflawni'r un gweithredoedd ar bob dyfais, mae'n ei ddefnyddio
"icacls.exe", fel y dangoswyd uchod.
Reis. 50: Defnyddio icalcls.exe
Ac yn olaf, mae'n dechrau amgryptio ffeiliau ac eithrio ffeiliau “*.exe”, “*.dll”, ffeiliau system a lleoliadau eraill a nodir ar ffurf rhestr wen wedi'i hamgryptio. I wneud hyn, mae'n defnyddio mewnforion: CryptAcquireCyd-destunW (lle nodir y defnydd o AES ac RSA), CryptDeriveKey, CryptGenKey, CryptDestroyKey etc. Mae hefyd yn ceisio ymestyn ei gyrhaeddiad i ddyfeisiau rhwydwaith a ddarganfuwyd gan ddefnyddio WNetEnumResourceW ac yna eu hamgryptio.
Reis. 51: Amgryptio ffeiliau system
6. Mewnforion a baneri cyfatebol
Isod mae tabl sy'n rhestru'r mewnforion a'r baneri mwyaf perthnasol a ddefnyddir gan y sampl:
7. IOC
cyfeiriadau
- defnyddwyrPublicrun.sct
- Cychwyn MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Lluniwyd adroddiad technegol ar y ransomware Ryuk gan arbenigwyr o'r labordy gwrthfeirws PandaLabs.
8. Cysylltiadau
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.” https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/ , Cyhoeddus el 04/11/2019.
2. “Un virus de origen ruso ataca a importantes empresas españolas.” https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “Papur VB2019: Dial Shinigami: cynffon hir y drwgwedd Ryuk.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. “Hela Hela Mawr gyda Ryuk: Arall LucrativebTargeded Ransomware.” https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/ , Publicada el 10/01/2019.
5. “Papur VB2019: Dial Shinigami: cynffon hir y drwgwedd Ryuk.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Ffynhonnell: hab.com