Is e Ryuk aon de na roghainnean ransomware as ainmeil anns na beagan bhliadhnaichean a dh ’fhalbh. Bho nochd e an toiseach as t-samhradh 2018, tha e air cruinneachadh , gu h-àraid anns an àrainneachd gnìomhachais, a tha na phrìomh thargaid de na h-ionnsaighean aige.
1. Fiosrachadh coitcheann
Anns an sgrìobhainn seo tha mion-sgrùdadh air an tionndadh Ryuk ransomware, a bharrachd air an luchdan le uallach airson an malware a luchdachadh a-steach don t-siostam.
Nochd an Ryuk ransomware an toiseach as t-samhradh 2018. Is e aon de na h-eadar-dhealachaidhean eadar Ryuk agus ransomware eile gu bheil e ag amas air ionnsaigh a thoirt air àrainneachdan corporra.
Ann am meadhan 2019, thug buidhnean cybercriminal ionnsaigh air àireamh mhòr de chompanaidhean Spàinnteach a ’cleachdadh an ransomware seo.
Reis. 1: Earrann bho El Confidencial a thaobh ionnsaigh ransomware Ryuk [1]
Reis. 2: Earrann bho El País mu ionnsaigh a chaidh a dhèanamh a’ cleachdadh an Ryuk ransomware [2]
Am-bliadhna, tha Ryuk air ionnsaigh a thoirt air àireamh mhòr de chompanaidhean ann an diofar dhùthchannan. Mar a chì thu anns na figearan gu h-ìosal, b’ e a’ Ghearmailt, Sìona, Algeria agus na h-Innseachan an fheadhainn as cruaidhe a bhuail.
Le bhith a’ dèanamh coimeas eadar an àireamh de dh’ ionnsaighean saidhbear, chì sinn gu bheil Ryuk air buaidh a thoirt air milleanan de luchd-cleachdaidh agus air tòrr dàta a mhilleadh, a’ leantainn gu fìor chall eaconamach.
Reis. 3: Dealbh de ghnìomhachd cruinne Ryuk.
Reis. 4: 16 dùthchannan as motha a tha fo bhuaidh Ryuk
Reis. 5: An àireamh de luchd-cleachdaidh air an tug Ryuk ransomware ionnsaigh (ann am milleanan)
A rèir prionnsapal obrachaidh àbhaisteach a leithid de chunnartan, tha an ransomware seo, às deidh an crioptachadh a bhith air a chrìochnachadh, a’ sealltainn fios airgead-fuadain don neach-fulaing a dh’ fheumar a phàigheadh ann am bitcoins chun t-seòladh ainmichte gus ruigsinneachd air na faidhlichean crioptaichte a thoirt air ais.
Tha an malware seo air atharrachadh bho chaidh a thoirt a-steach an toiseach.
Chaidh an caochladh den chunnart seo a chaidh a sgrùdadh san sgrìobhainn seo a lorg rè oidhirp ionnsaigh san Fhaoilleach 2020.
Air sgàth cho iom-fhillte 'sa tha e, tha an malware seo gu tric air a thoirt do bhuidhnean saidhbear eagraichte, ris an canar cuideachd buidhnean APT.
Tha pàirt de chòd Ryuk gu math coltach ri còd agus structar ransomware ainmeil eile, Hermes, leis a bheil iad a’ roinn grunn ghnìomhan co-ionann. Sin as coireach gun robh Ryuk an toiseach ceangailte ris a’ bhuidheann Corea a Tuath Lazarus, a bha fo amharas aig an àm gu robh e air cùl ransomware Hermes.
Thug seirbheis Falcon X CrowdStrike fa-near às deidh sin gun deach Ryuk a chruthachadh gu dearbh leis a’ bhuidheann WIZARD SPIDER [4].
Tha beagan fianais ann airson taic a thoirt don bharail seo. An toiseach, chaidh an ransomware seo a shanasachadh air an làrach-lìn exploit.in, a tha na ionad margaidh malware ainmeil Ruiseanach agus a bha roimhe seo co-cheangailte ri cuid de bhuidhnean APT Ruiseanach.
Tha an fhìrinn seo a 'cur às don teòiridh gum faodadh Ryuk a bhith air a leasachadh leis a' bhuidheann Lazarus APT, oir chan eil e a’ freagairt air an dòigh sa bheil a’ bhuidheann ag obair.
A bharrachd air an sin, chaidh Ryuk a shanasachadh mar ransomware nach obraich air siostaman Ruiseanach, Ucràineach agus Bealarúisis. Tha an giùlan seo air a dhearbhadh le feart a lorgar ann an cuid de dhreachan de Ryuk, far a bheil e a’ sgrùdadh cànan an t-siostaim air a bheil an ransomware a’ ruith agus ga stad bho bhith a’ ruith ma tha cànan Ruiseanach, Ucràineach no Bealarúisis aig an t-siostam. Mu dheireadh, nochd mion-sgrùdadh eòlach air an inneal a chaidh a shlaodadh le sgioba WIZARD SPIDER grunn “stuthan” a thathas ag ràdh a chaidh a chleachdadh ann an leasachadh Ryuk mar atharrachadh air an Hermes ransomware.
Air an làimh eile, mhol eòlaichean Gabriela Nicolao agus Luciano Martins gur dòcha gun deach an ransomware a leasachadh leis a ’bhuidheann APT CryptoTech [5].
Tha seo a’ leantainn air sgàth grunn mhìosan mus do nochd Ryuk, chuir a’ bhuidheann seo fiosrachadh air fòram an aon làraich gun robh iad air dreach ùr den Hermes ransomware a leasachadh.
Bha grunn luchd-cleachdaidh fòram a 'ceasnachadh an do chruthaich CryptoTech Ryuk gu dearbh. An uairsin dhìon a’ bhuidheann iad fhèin agus thuirt iad gu robh fianais aca gun robh iad air 100% den bhathar-airgid a leasachadh.
2. Feartan
Bidh sinn a’ tòiseachadh leis an bootloader, aig a bheil e mar dhleastanas an siostam air a bheil e a chomharrachadh gus an tèid an dreach “ceart” den Ryuk ransomware a chuir air bhog.
Tha an hash bootloader mar a leanas:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Is e aon de fheartan an luchdachadh sìos seo nach eil meata-dàta sam bith ann, i.e. Chan eil luchd-cruthachaidh an malware seo air fiosrachadh sam bith a thoirt a-steach ann.
Aig amannan bidh iad a’ toirt a-steach dàta mearachdach gus an neach-cleachdaidh a mhealladh gu bhith a’ smaoineachadh gu bheil iad a’ ruith tagradh dligheach. Ach, mar a chì sinn nas fhaide air adhart, mura h-eil an galar a’ toirt a-steach eadar-obrachadh luchd-cleachdaidh (mar a tha fìor leis an ransomware seo), chan eil luchd-ionnsaigh den bheachd gu bheil feum air meata-dàta a chleachdadh.
Reis. 6: Sample Meta Data
Chaidh an sampall a chuir ri chèile ann an cruth 32-bit gus an urrainn dha ruith air gach cuid siostaman 32-bit agus 64-bit.
3. Treòrachaidh vectar
Chaidh an sampall a bhios a’ luchdachadh sìos agus a’ ruith Ryuk a-steach don t-siostam againn tro cheangal iomallach, agus chaidh na crìochan ruigsinneachd fhaighinn tro ionnsaigh tòiseachaidh RDP.
Reis. 7: Clàr ionnsaigh
Chaidh aig an neach-ionnsaigh air logadh a-steach don t-siostam air astar. Às deidh sin, chruthaich e faidhle so-ghnìomhaichte leis an sampall againn.
Chaidh am faidhle so-ghnìomhaichte seo a bhacadh le fuasgladh antivirus mus ruith e.
Reis. 8: Glasadh pàtran
Reis. 9: Glasadh pàtran
Nuair a chaidh am faidhle droch-rùnach a bhacadh, dh’ fheuch an neach-ionnsaigh ri dreach crioptaichte den fhaidhle so-ghnìomhaichte a luchdachadh sìos, a chaidh a bhacadh cuideachd.
Reis. 10: Seata de shamhlaichean a dh'fheuch an neach-ionnsaigh ri ruith
Mu dheireadh, dh’ fheuch e ri faidhle droch-rùnach eile a luchdachadh sìos tron chonsail crioptaichte
PowerShell gus faighinn seachad air dìon anti-bhìoras. Ach bha e cuideachd air a bhacadh.
Reis. 11: PowerShell le susbaint droch-rùnach air a bhacadh
Reis. 12: PowerShell le susbaint droch-rùnach air a bhacadh
4. Luchdaich
Nuair a chuireas e an gnìomh, bidh e a’ sgrìobhadh faidhle ReadMe chun phasgan % temp%, a tha àbhaisteach dha Ryuk. Tha am faidhle seo na nota ransom anns a bheil seòladh puist-d san àrainn protonmail, a tha gu math cumanta san teaghlach malware seo: [post-d fo dhìon]
Reis. 13: Iarrtas Ransom
Fhad ‘s a tha an bootloader a’ ruith, chì thu gu bheil e a ’cur air bhog grunn fhaidhlichean so-ghnìomhaichte le ainmean air thuaiream. Tha iad air an stòradh ann am pasgan falaichte POBLACH, ach mura h-eil an roghainn gnìomhach san t-siostam obrachaidh msgstr "Seall faidhlichean falaichte agus pasganan", an sin fanaidh iad am folach. A bharrachd air an sin, tha na faidhlichean sin 64-bit, eu-coltach ris an fhaidhle phàrant, a tha 32-bit.
Reis. 14: Faidhlichean so-ghnìomhaichte air an cur air bhog leis an sampall
Mar a chì thu san ìomhaigh gu h-àrd, bidh Ryuk a’ cur air bhog icacls.exe, a thèid a chleachdadh gus a h-uile ACL (liostaichean smachd ruigsinneachd atharrachadh), agus mar sin a’ dèanamh cinnteach gum faighear cothrom air agus atharrachadh brataichean.
Bidh e a’ faighinn làn chothrom fon h-uile neach-cleachdaidh air a h-uile faidhle air an inneal (/ T) ge bith dè na mearachdan (/ C) agus gun a bhith a’ sealltainn teachdaireachdan sam bith (/Q).
Reis. 15: Paramadairean coileanadh icacls.exe a chuir an sampall air bhog
Tha e cudromach cuimhneachadh gu bheil Ryuk a’ sgrùdadh dè an dreach de Windows a tha thu a’ ruith. Airson seo e
a 'dèanamh sgrùdadh dreach a' cleachdadh GetVersionExW, anns a bheil e a 'sgrùdadh luach a' bhratach lpVersionInformationag innse a bheil an tionndadh làithreach de Windows nas ùire na Windows XP.
A rèir a bheil thu a’ ruith dreach nas fhaide na Windows XP, sgrìobhaidh am boot loader chun phasgan cleachdaiche ionadail - sa chùis seo chun phasgan % poblach.
Reis. 17: Thoir sùil air dreach an t-siostaim obrachaidh
'S e Ryuk am faidhle a thathar a' sgrìobhadh. Bidh e an uairsin ga ruith, a’ dol seachad air a sheòladh fhèin mar pharamadair.
Reis. 18: Cuir an gnìomh Ryuk tro ShellExecute
Is e a’ chiad rud a nì Ryuk na crìochan cuir a-steach. An turas seo tha dà pharamadair cuir a-steach (an gnìomh fhèin agus an seòladh dropper) a thathas a’ cleachdadh gus na lorgan aca fhèin a thoirt air falbh.
Reis. 19: Cruthachadh Pròiseas
Chì thu cuideachd aon uair ‘s gu bheil e air na gnìomhan executable aige a ruith, gun cuir e às e fhèin, agus mar sin a’ fàgail gun lorg air a làthaireachd fhèin sa phasgan far an deach a chur gu bàs.
Reis. 20: A’ sguabadh às faidhle
5. RYUK
5.1 An làthair
Bidh Ryuk, mar malware eile, a’ feuchainn ri fuireach air an t-siostam cho fada ‘s a ghabhas. Mar a chithear gu h-àrd, is e aon dòigh air an amas seo a choileanadh faidhlichean so-ghnìomhaichte a chruthachadh agus a ruith gu dìomhair. Gus seo a dhèanamh, is e an cleachdadh as cumanta an iuchair clàraidh atharrachadh Tionndadh làithreachRun.
Anns a 'chùis seo, chì thu gu bheil airson an adhbhair seo a' chiad faidhle a chur air bhog VWjRF.exe
(tha ainm faidhle air a chruthachadh air thuaiream) a’ cur air bhog cmd.exe.
Reis. 21: A’ cur an gnìomh VWjRF.exe
An uairsin cuir a-steach an àithne RUN Leis an ainm "svchosMar sin, ma tha thu airson sùil a thoirt air iuchraichean a’ chlàir aig àm sam bith, is urrainn dhut an t-atharrachadh seo a chall gu furasta, leis gu bheil an t-ainm seo coltach ri svchost. Taing don iuchair seo, nì Ryuk cinnteach gu bheil e an làthair san t-siostam. Mura h-eil an siostam air a bhith ann. fhathast air an galar, an uairsin nuair a nì thu ath-thòiseachadh air an t-siostam, feuchaidh an gnìomh a-rithist.
Reis. 22: Bidh an sampall a’ dèanamh cinnteach gu bheil làthaireachd ann an iuchair a’ chlàr
Chì sinn cuideachd gu bheil an gnìomh seo a’ stad dà sheirbheis:
"neach-togail puing claisneachd", a tha, mar a tha an t-ainm a 'moladh, a' freagairt ri fuaim siostam,
Reis. 23: Sampall a’ cur stad air seirbheis claisneachd an t-siostaim
и Samss, a tha na sheirbheis stiùireadh cunntais. Tha stad air an dà sheirbheis seo na fheart de Ryuk. Anns a ’chùis seo, ma tha an siostam ceangailte ri siostam SIEM, bidh an ransomware a’ feuchainn ri stad a chuir gu rabhaidhean sam bith. San dòigh seo, bidh e a’ dìon na h-ath cheumannan aige leis nach bi e comasach dha cuid de sheirbheisean SAM an obair aca a thòiseachadh gu ceart às deidh dhaibh Ryuk a chuir gu bàs.
Reis. 24: Sampall a 'stad seirbheis Samss
5.2 Sochairean
San fharsaingeachd, bidh Ryuk a 'tòiseachadh le bhith a' gluasad taobh a-staigh an lìonraidh no thèid a chuir air bhog le malware eile leithid no , a bhios, ma dh’ èiricheas sochair, a’ gluasad nan còraichean àrdaichte sin chun an ransomware.
Ro-làimh, mar ro-ràdh don phròiseas buileachaidh, chì sinn e a’ coileanadh a’ phròiseis Dèan pearsanachadh fhèin, a tha a’ ciallachadh gun tèid susbaint tèarainteachd an tòcan ruigsinneachd a chuir chun t-sruth, far an tèid a thoirt air ais sa bhad le bhith a’ cleachdadh GetCurrentThread.
Reis. 25: Call ImpersonateSelf
Chì sinn an uairsin gun cheangail e comharra ruigsinneachd le snàithlean. Tha sinn cuideachd a 'faicinn gu bheil aon de na brataichean Cothrom mhiannaichte, a dh'fhaodar a chleachdadh gus smachd a chumail air an t-slighe a-steach a bhios aig an t-snàthainn. Anns a 'chùis seo bu chòir an luach a gheibh edx a bhith TOKEN_ALL_ACES no eile - TOKEN_WRITE.
Reis. 26: A’ cruthachadh Comharra Sruth
An uairsin bidh e ga chleachdadh SeDebugPrivilege agus cuiridh e fios gu ceadan Debug fhaighinn air an t-snàthainn, a thig gu buil PROCESS_ALL_ACCESS, bidh e comasach dha faighinn gu pròiseas riatanach sam bith. A-nis, leis gu bheil sruth ullaichte aig a’ chrioptachadh mu thràth, chan eil air fhàgail ach a dhol air adhart chun ìre mu dheireadh.
Reis. 27: A’ gairm SeDebugPrivilege agus Gnìomh Àrdachadh Sochairean
Air an aon làimh, tha LookupPrivilegeValueW againn, a bheir dhuinn am fiosrachadh riatanach mu na sochairean a tha sinn airson àrdachadh.
Reis. 28: Iarr fiosrachadh mu shochairean airson àrdachadh sochair
Air an làimh eile, tha againn AdjustTokenPrivileges, a leigeas leinn na còraichean riatanach fhaighinn don t-sruth againn. Anns a 'chùis seo, is e an rud as cudromaiche Stàit Ùr, a bheir a bhratach sochairean.
Reis. 29: A’ stèidheachadh ceadan airson tòcan
5.3 Cur an gnìomh
Anns an earrainn seo, seallaidh sinn mar a bhios an sampall a’ coileanadh a’ phròiseas buileachaidh a chaidh ainmeachadh roimhe san aithisg seo.
Is e prìomh amas a’ phròiseas buileachaidh, a bharrachd air àrdachadh, cothrom fhaighinn air lethbhric. Gus seo a dhèanamh, feumaidh e obrachadh le snàithlean le còraichean nas àirde na feadhainn an neach-cleachdaidh ionadail. Cho luath ‘s a gheibh e na còraichean àrdaichte sin, sguabaidh e às lethbhric agus nì e atharrachaidhean air pròiseasan eile gus nach bi e comasach tilleadh gu àite ath-nuadhachaidh nas tràithe san t-siostam obrachaidh.
Mar a tha àbhaisteach leis an t-seòrsa malware seo, bidh e a’ cleachdadh CreateToolHelp32 Snapshotmar sin bheir e dealbh de na pròiseasan a tha a’ ruith an-dràsta agus feuchaidh e ri faighinn gu na pròiseasan sin a’ cleachdadh Pròiseas fosgailte. Cho luath ‘s a gheibh e cothrom air a’ phròiseas, bidh e cuideachd a ’fosgladh comharra leis an fhiosrachadh aige gus paramadairean pròiseas fhaighinn.
Reis. 30: A 'toirt air ais pròiseasan bho choimpiutair
Chì sinn gu dinamach mar a gheibh e an liosta de phròiseasan ruith ann an 140002D9C àbhaisteach a’ cleachdadh CreateToolhelp32Snapshot. Às deidh dhaibh faighinn, bidh e a ’dol tron liosta, a’ feuchainn ri pròiseasan fhosgladh aon às deidh aon a ’cleachdadh OpenProcess gus an soirbhich leis. Anns a 'chùis seo, b' e a 'chiad phròiseas a b' urrainn dha fhosgladh "taskhost.exe".
Reis. 31: Cuir an gnìomh dòigh-obrach gu dinamach gus pròiseas fhaighinn
Chì sinn gu bheil e an dèidh sin a 'leughadh fiosrachadh tòcan pròiseas, mar sin tha e a' gairm OpenProcessToken le paramadair"20008"
Reis. 32: Leugh fiosrachadh tòcan pròiseas
Bidh e cuideachd a’ dèanamh cinnteach nach eil am pròiseas anns an tèid a thoirt a-steach csrss.exe, explorer.exe, lsaas.exe no gu bheil seata chòraichean aige Ùghdarras NT.
Reis. 33: Pròiseasan air an dùnadh a-mach
Chì sinn gu dinamach mar a nì e an t-seic an-toiseach a’ cleachdadh an fhiosrachaidh tòcan pròiseas a-steach 140002D 9C gus faighinn a-mach an e cunntas a th’ anns a’ chunntas aig a bheil na còraichean air an cleachdadh gus pròiseas a chur an gnìomh NT UGHDARRAS.
Reis. 34: NT SEACHD ÙGHDARRAS
Agus nas fhaide air adhart, taobh a-muigh a 'mhodh-obrachaidh, bidh e a' dèanamh cinnteach nach eil seo csrss.exe, explorer.exe no lsaas.exe.
Reis. 35: NT SEACHD ÙGHDARRAS
Aon uair ‘s gu bheil e air dealbh a ghabhail de na pròiseasan, air na pròiseasan fhosgladh, agus air dearbhadh nach eil gin dhiubh air an dùnadh a-mach, tha e deiseil airson sgrìobhadh gu cuimhne mu na pròiseasan a thèid a stealladh.
Gus seo a dhèanamh, bidh e an toiseach a’ gleidheadh àite mar chuimhneachan (VirtualAllocEx), a' sgrìobhadh ann (Sgrìobh pròiseas cuimhne) agus a’ cruthachadh snàithlean (CruthaichRemoteThread). Gus obrachadh leis na gnìomhan sin, bidh e a’ cleachdadh PIDn nam pròiseasan taghte, a fhuair e roimhe a’ cleachdadh CreateToolhelp32 Snapshot.
Reis. 36: Cuir a-steach còd
An seo is urrainn dhuinn coimhead gu dinamach mar a chleachdas e am pròiseas PID gus an gnìomh a ghairm VirtualAllocEx.
Reis. 37: Cuir fòn gu VirtualAllocEx
5.4 Crioptachadh
Anns an earrainn seo, seallaidh sinn ris a’ chuibhreann crioptachaidh den t-sampall seo. Anns an dealbh a leanas chì thu dà fho-riaghailt air a bheil "LoadLibrary_EncodeString"i"Encode_Func", air a bheil uallach airson a’ mhodh crioptachaidh a choileanadh.
Reis. 38: Modhan crioptachaidh
Aig an toiseach chì sinn mar a bhios e a’ luchdachadh sreang a thèid a chleachdadh nas fhaide air adhart gus a h-uile dad a tha a dhìth a dhubhadh às: in-mhalairt, DLLs, àitheantan, faidhlichean agus CSPn.
Reis. 39: Cuairt deobfuscation
Tha am figear a leanas a’ sealltainn a’ chiad in-mhalairt a dh’ fhàgas e ann an clàr R4. Luchdaich Leabharlann. Thèid seo a chleachdadh nas fhaide air adhart gus na DLLs a tha a dhìth a luchdachadh. Chì sinn cuideachd loidhne eile ann an clàr R12, a tha air a chleachdadh còmhla ris an loidhne roimhe gus deobfuscation a dhèanamh.
Reis. 40: Deobfuscation fiùghantach
Bidh e a’ leantainn air adhart a’ luchdachadh sìos òrdughan a ruitheas e nas fhaide air adhart gus cùl-taic a chuir dheth, puingean ath-nuadhachadh, agus modhan bròg sàbhailte.
Reis. 41: A’ luchdachadh òrdughan
An uairsin bidh e a’ luchdachadh an àite far an leig e às 3 faidhlichean: Windows.bat, ruith.sct и tòiseachadh.bat.
Reis. 42: Àiteachan faidhle
Tha na 3 faidhlichean sin air an cleachdadh gus sùil a thoirt air na sochairean a tha aig gach àite. Mura h-eil na sochairean riatanach rim faighinn, stad Ryuk air a chur gu bàs.
Tha e a’ leantainn air adhart a’ luchdachadh nan loidhnichean a fhreagras air na trì faidhlichean. A’ chiad, DECRYPT_INFORMATION.html, anns a bheil fiosrachadh riatanach gus faidhlichean fhaighinn air ais. An dàrna, POBLACH, anns a bheil iuchair phoblach RSA.
Reis. 43: Loidhne DECRYPT INFORMATION.html
An treas, UNIQUE_ID_DO_NOT_REMOVE, anns a bheil an iuchair chrioptaichte a thèid a chleachdadh san ath chleachdadh gus an crioptachadh a dhèanamh.
Reis. 44: Loidhne ID SÒNRAICHTE NA toir air falbh
Mu dheireadh, bidh e a’ luchdachadh sìos na leabharlannan a tha a dhìth còmhla ris na h-in-mhalairt riatanach agus CSPn (RSA leasaichte Microsoft и Solaraiche criptografach AES).
Reis. 45: A’ luchdachadh leabharlannan
Às deidh a h-uile deobfuscation a bhith air a chrìochnachadh, bidh e a ’dol air adhart gu bhith a’ coileanadh na gnìomhan a dh ’fheumar airson crioptachadh: ag àireamhachadh a h-uile draibhear loidsigeach, a’ cur an gnìomh na chaidh a luchdachadh anns a ’chleachdadh roimhe, a’ neartachadh làthaireachd san t-siostam, a ’tilgeil am faidhle RyukReadMe.html, a’ crioptachadh, ag àireamhachadh a h-uile draibhear lìonra , gluasad gu innealan a chaidh a lorg agus an crioptachadh.
Tha e uile a 'tòiseachadh le luchdachadh"cmd.exe" agus clàran iuchraichean poblach RSA.
Reis. 46: Ag ullachadh airson crioptachadh
An uairsin bidh e a 'faighinn a h-uile dràibhear loidsigeach a' cleachdadh GetLogicalDrives agus cuir à comas a h-uile cùl-taic, puingean ath-nuadhachadh agus modhan bròg sàbhailte.
Reis. 47: A’ cur dheth innealan ath-bheothachaidh
Às deidh sin, bidh e a 'neartachadh a làthaireachd san t-siostam, mar a chunnaic sinn gu h-àrd, agus a' sgrìobhadh a 'chiad fhaidhle RyukReadMe.html в TEMP.
Reis. 48: A’ foillseachadh fios saoraidh
Anns an dealbh a leanas chì thu mar a chruthaicheas e faidhle, luchdaich sìos an susbaint agus mar a sgrìobhas e e:
Reis. 49: A’ luchdachadh agus a’ sgrìobhadh susbaint faidhle
Airson a bhith comasach air na h-aon ghnìomhan a dhèanamh air a h-uile inneal, bidh e a 'cleachdadh
"icacls.exe", mar a sheall sinn gu h-àrd.
Reis. 50: A’ cleachdadh icalcls.exe
Agus mu dheireadh, bidh e a’ tòiseachadh a’ crioptachadh fhaidhlichean ach a-mhàin faidhlichean “*.exe”, “*.dll”, faidhlichean siostam agus àiteachan eile air an sònrachadh ann an cruth liosta geal crioptaichte. Gus seo a dhèanamh, bidh e a’ cleachdadh in-mhalairt: CryptAcquireContextW (far a bheil cleachdadh AES agus RSA air a shònrachadh), CryptDeriveKey, CryptGenKey, CryptoDestroyKey etc. Bidh e cuideachd a’ feuchainn ris an ruigsinneachd aige a leudachadh gu innealan lìonra a chaidh a lorg a’ cleachdadh WNetEnumResourceW agus an uairsin a chrioptachadh.
Reis. 51: A’ crioptachadh fhaidhlichean siostam
6. In-mhalairt agus brataichean co-fhreagarrach
Gu h-ìosal tha clàr a’ liostadh na h-in-mhalairt agus na brataichean as buntainniche a chleachd an sampall:
7. IOC
iomraidhean
- luchd-cleachdaidhPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Chaidh aithisg theicnigeach air an Ryuk ransomware a chuir ri chèile le eòlaichean bhon obair-lann antivirus PandaLabs.
8. Ceanglaichean
1. “Everis y Prisa Radio sufren un grave ciberataque que sequestra sus sus sustem.” https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Poblach el 04/11/2019.
2. “Gun bhìoras tùsail a tha cudromach don Spàinn.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Foillsichte el 04/11/2019.
3. “Pàipear VB2019: Dìoghaltas Shinigami: earball fada malware Ryuk.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. “Sealg Gèam Mòr le Ryuk: Bathar-bog Lucrative eile air a chuimseachadh.” https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Poblach el 10/01/2019.
5. “Pàipear VB2019: Dìoghaltas Shinigami: earball fada malware Ryuk.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Source: www.habr.com