ʻO Ryuk kekahi o nā koho ransomware kaulana loa i nā makahiki i hala. Mai ka mea i ʻike mua ʻia i ke kauwela o 2018, ua hōʻiliʻili , ʻoi loa i ka ʻoihana ʻoihana, ʻo ia ka pahuhopu nui o kāna mau hoʻouka ʻana.
1. ʻIke nui
Aia i loko o kēia palapala ka nānā ʻana o ka Ryuk ransomware ʻano like ʻole, a me ka mea lawe ukana ke kuleana no ka hoʻouka ʻana i ka malware i loko o ka ʻōnaehana.
Ua ʻike mua ʻia ka Ryuk ransomware i ke kauwela o 2018. ʻO kekahi o nā ʻokoʻa ma waena o Ryuk a me nā ransomware ʻē aʻe ke manaʻo nei e hoʻouka i nā ʻoihana ʻoihana.
I ka waena o 2019, ua hoʻouka nā hui cybercriminal i ka nui o nā hui Sepania e hoʻohana ana i kēia ransomware.
Laiki. 1: Mahele mai El Confidencial e pili ana i ka hoʻouka kaua ransomware Ryuk [1]
Laiki. 2: Mahele mai El País e pili ana i kahi hoʻouka kaua i hana ʻia me ka Ryuk ransomware [2]
I kēia makahiki, ua hoʻouka ʻo Ryuk i kahi helu nui o nā hui ma nā ʻāina like ʻole. E like me kāu e ʻike ai ma nā kiʻi ma lalo nei, ʻo Kelemania, Kina, Algeria a me India ka mea paʻakikī loa.
Ma ka hoʻohālikelike ʻana i ka nui o nā hoʻouka kaua cyber, hiki iā mākou ke ʻike ua hoʻopilikia ʻo Ryuk i nā miliona o nā mea hoʻohana a hoʻololi i ka nui o ka ʻikepili, e hopena i ka pohō waiwai nui.
Laiki. 3: Hōʻikeʻike o ka hana honua a Ryuk.
Laiki. 4: 16 mau ʻāina i hoʻopilikia nui ʻia e Ryuk
Laiki. 5: Ka helu o nā mea hoʻohana i hoʻouka ʻia e Ryuk ransomware (i nā miliona)
Wahi a ka loina hana maʻamau o ia mau mea hoʻoweliweli, ʻo kēia ransomware, ma hope o ka pau ʻana o ka hoʻopili ʻana, e hōʻike ana i ka mea i hoʻopaʻa ʻia i kahi hoʻolaha pānaʻi e pono e uku ʻia ma nā bitcoins i ka helu i kuhikuhi ʻia e hoʻihoʻi i ke komo ʻana i nā faila i hoʻopili ʻia.
Ua loli kēia polokalamu malware mai ka wā i hoʻokomo mua ʻia ai.
Ua ʻike ʻia ka ʻokoʻa o kēia hoʻoweliweli i hoʻopaʻa ʻia ma kēia palapala i ka wā o ka hoʻāʻo hoʻouka kaua ma Ianuali 2020.
Ma muli o kona paʻakikī, ʻike pinepine ʻia kēia malware i nā hui cybercriminal i hoʻonohonoho ʻia, ʻike ʻia hoʻi nā hui APT.
Loaʻa ka ʻāpana o ka code Ryuk i ke ʻano like me ke code a me ke ʻano o kahi ransomware kaulana ʻē aʻe, ʻo Hermes, kahi e kaʻana like ai lākou i nā hana like. ʻO kēia ke kumu i hoʻopili mua ʻia ai ʻo Ryuk i ka hui ʻĀkau ʻĀkau ʻo Lazarus, i ka manawa i manaʻo ʻia aia ma hope o ka Hermes ransomware.
Ua ʻike ʻia ka lawelawe ʻo Falcon X o CrowdStrike ua hana ʻia ʻo Ryuk e ka hui WIZARD SPIDER [4].
Aia kekahi mau hōʻike e kākoʻo i kēia manaʻo. ʻO ka mea mua, ua hoʻolaha ʻia kēia ransomware ma ka pūnaewele exploit.in, kahi mākeke malware kaulana Lūkini a ua pili mua ʻia me kekahi mau pūʻulu APT Lūkini.
Hoʻoholo kēia ʻoiaʻiʻo i ke kumumanaʻo i hiki ke hoʻomohala ʻia ʻo Ryuk e ka hui Lazarus APT, no ka mea ʻaʻole kūpono i ke ʻano o ka hana ʻana o ka hui.
Eia kekahi, ua hoʻolaha ʻia ʻo Ryuk ma ke ʻano he ransomware e hana ʻole ma nā ʻōnaehana Lūkini, Ukrainian a me Belarusian. Hoʻoholo ʻia kēia ʻano e kahi hiʻohiʻona i loaʻa i kekahi mau mana o Ryuk, kahi e nānā ai i ka ʻōlelo o ka ʻōnaehana kahi e holo ai ka ransomware a kāpae iā ia mai ka holo ʻana inā he ʻōlelo Lūkini, Ukrainian a Belarusian ka ʻōnaehana. ʻO ka mea hope loa, ua hōʻike ʻia kahi loiloi loea o ka mīkini i hacked e ka hui WIZARD SPIDER i kekahi mau "artifacts" i ʻōlelo ʻia i hoʻohana ʻia i ka hoʻomohala ʻana o Ryuk ma ke ʻano he ʻano o ka Hermes ransomware.
Ma ka ʻaoʻao ʻē aʻe, ua manaʻo ka poʻe loea ʻo Gabriela Nicolao a me Luciano Martins ua hoʻomohala ʻia ka ransomware e ka hui APT CryptoTech [5].
Ma muli o kēia mau mahina ma mua o ka puka ʻana o Ryuk, ua hoʻopuka kēia hui i ka ʻike ma ka ʻaha kūkā o ka pūnaewele like a lākou i kūkulu ai i kahi mana hou o ka Hermes ransomware.
Ua nīnau kekahi mau mea hoʻohana forum inā ua hana maoli ʻo CryptoTech iā Ryuk. Ua pale aku ka hui iā ia iho a ʻōlelo ʻia he hōʻike ko lākou i kūkulu i ka 100% o ka ransomware.
2. Na ano
Hoʻomaka mākou me ka bootloader, nona kāna hana e ʻike ai i ka ʻōnaehana i hiki ke hoʻokuʻu ʻia ka mana "pololei" o ka Ryuk ransomware.
ʻO ka hash bootloader penei:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
ʻO kekahi o nā hiʻohiʻona o kēia mea hoʻoiho ʻaʻole i loaʻa i nā metadata, ʻo ia hoʻi. ʻAʻole i hoʻokomo ka poʻe nāna i hana i kēia polokalamu malware i kekahi ʻike i loko.
I kekahi manawa hoʻokomo lākou i ka ʻikepili hewa e hoʻopunipuni i ka mea hoʻohana i ka manaʻo e holo ana lākou i kahi noi kūpono. Eia naʻe, e like me kā mākou e ʻike ai ma hope, inā ʻaʻole pili ka maʻi i ka pilina o ka mea hoʻohana (e like me ka hihia me kēia ransomware), a laila ʻaʻole manaʻo nā mea hoʻouka he pono ke hoʻohana i ka metadata.
Laiki. 6: Laʻana Meta Data
Ua hōʻuluʻulu ʻia ka hāpana ma 32-bit format i hiki iā ia ke holo ma nā ʻōnaehana 32-bit a me 64-bit.
3. Vektor komo
ʻO ka laʻana e hoʻoiho a holo iā Ryuk i komo i kā mākou ʻōnaehana ma o kahi pilina mamao, a ua loaʻa nā ʻāpana komo ma o ka hoʻouka kaua RDP mua.
Laiki. 7: Hoʻopaʻa inoa hoʻouka
Ua hiki i ka mea hoʻouka ke komo i loko o ka ʻōnaehana mamao. Ma hope o kēlā, hana ʻo ia i kahi faila hiki ke hoʻokō me kā mākou laʻana.
Ua ālai ʻia kēia faila hoʻokō e kahi hoʻonā antivirus ma mua o ka holo ʻana.
Laiki. 8: Laka kumu
Laiki. 9: Laka kumu
I ka wā i ālai ʻia ai ka faila ʻino, ua hoʻāʻo ka mea hoʻouka e hoʻoiho i kahi mana hoʻopunipuni o ka faila hiki ke hoʻokō ʻia, a ua pāpā ʻia hoʻi.
Laiki. 10: Hoʻonohonoho i nā laʻana i hoʻāʻo ai ka mea hoʻouka e holo
ʻO ka hope, ua hoʻāʻo ʻo ia e hoʻoiho i kahi faila ʻino ma o ka console hoʻopili
PowerShell e kāpae i ka pale antivirus. Akā ua ālai ʻia ʻo ia.
Laiki. 11: Ua ālai ʻia ʻo PowerShell me nā mea ʻino
Laiki. 12: Ua ālai ʻia ʻo PowerShell me nā mea ʻino
4. Mea lawe ukana
Ke hoʻokō ʻia, kākau ia i kahi faila ReadMe i ka waihona % temp%, ka mea maʻamau no Ryuk. ʻO kēia faila he leka pānaʻi i loaʻa kahi leka uila ma ka pūnaewele protonmail, kahi mea maʻamau i kēia ʻohana malware: [pale ʻia ka leka uila]
Laiki. 13: Koi Hoola
ʻOiai e holo ana ka bootloader, hiki iā ʻoe ke ʻike e hoʻomaka ana ia i nā faila hiki ke hoʻokō me nā inoa maʻamau. Mālama ʻia lākou i loko o kahi waihona huna P ʻĀHIPU, akā inā ʻaʻole ikaika ka koho i ka ʻōnaehana hana "Hōʻike i nā faila huna a me nā waihona", a laila e hūnā ʻia. Eia kekahi, he 64-bit kēia mau faila, ʻaʻole like me ka faila makua, ʻo ia ka 32-bit.
Laiki. 14: Hoʻokuʻu ʻia nā faila hoʻokō e ka laʻana
E like me kāu e ʻike ai ma ke kiʻi ma luna, hoʻomaka ʻo Ryuk i ka icacls.exe, e hoʻohana ʻia e hoʻololi i nā ACL āpau (Access control lists), pēlā e hōʻoia ai i ke komo ʻana a me ka hoʻololi ʻana o nā hae.
Loaʻa iā ia ke komo piha ma lalo o nā mea hoʻohana a pau i nā faila āpau ma ka hāmeʻa (/T) me ka nānā ʻole i nā hewa (/C) a me ka hōʻike ʻole ʻana i nā memo (/Q).
Laiki. 15: Hoʻokuʻu ʻia nā ʻāpana hoʻokō o icacls.exe e ka laʻana
He mea nui e hoʻomaopopo iā Ryuk e nānā i ka mana o Windows āu e holo nei. No keia
hana i ka nānā mana me ka hoʻohana GetVersionExW, kahi e nānā ai i ka waiwai o ka hae lpVersionInformatione hōʻike ana inā ʻoi aku ka hou o ka mana o Windows ma mua o Windows XP.
Ma muli o ka holo ʻana i kahi mana ma mua o Windows XP, e kākau ka mea hoʻoili pahu i ka waihona mea hoʻohana kūloko - i kēia hihia i ka waihona. %Lehulehu%.
Laiki. 17: Ke nānā nei i ka mana o ka ʻōnaehana hana
ʻO ka faila i kākau ʻia ʻo Ryuk. A laila holo ia, e hāʻawi ana i kāna helu ponoʻī ma ke ʻano he ʻāpana.
Laiki. 18: E hoʻokō iā Ryuk ma o ShellExecute
ʻO ka mea mua a Ryuk e loaʻa ai nā ʻāpana hoʻokomo. I kēia manawa aia ʻelua mau ʻāpana hoʻokomo (ka mea hoʻokō ponoʻī a me ka helu dropper) i hoʻohana ʻia no ka wehe ʻana i kāna mau ala ponoʻī.
Laiki. 19: Hana ʻana i kahi kaʻina hana
Hiki iā ʻoe ke ʻike i ka wā e holo ai i kāna mau mea hoʻokō, holoi ʻo ia iā ia iho, no laila ʻaʻole waiho ʻia kahi ʻike o kona alo ponoʻī i ka waihona kahi i hoʻokō ʻia ai.
Laiki. 20: Holoi i kahi faila
5. RYUK
5.1 Aia
ʻO Ryuk, e like me nā polokalamu ʻē aʻe, e hoʻāʻo e noho ma ka ʻōnaehana no ka lōʻihi o ka hiki. E like me ka mea i hōʻike ʻia ma luna, hoʻokahi ala e hoʻokō ai i kēia pahuhopu ʻo ka hana malū ʻana a holo i nā faila hiki ke hoʻokō. No ka hana ʻana i kēia, ʻo ka hana maʻamau ka hoʻololi ʻana i ke kī hoʻopaʻa inoa Kahiwa.
I kēia hihia, hiki iā ʻoe ke ʻike no kēia kumu i hoʻomaka ʻia ka faila mua VWjRF.exe
(hoʻokumu ʻia ka inoa faila) hoʻomaka cmd.exe.
Laiki. 21: Hoʻokō i ka VWjRF.exe
A laila e komo i ke kauoha e holo aku Me ka inoa "svchos". No laila, inā makemakeʻoe e nānā i nā kī hoʻopaʻa inoa i kēlā me kēia manawa, hiki iāʻoe ke nalo i kēia hoʻololi, no ka like o kēia inoa me svchost. Mahalo i kēia kī, hōʻoiaʻo Ryuk i kona nohoʻana ma ka pūnaewele. Ināʻaʻole i loaʻa i ka pūnaewele. akā ua maʻi ʻia, a laila ke hoʻomaka hou ʻoe i ka ʻōnaehana, e hoʻāʻo hou ka mea hoʻokō.
Laiki. 22: Hōʻoia ka laʻana i ke komo ʻana i ke kī hoʻopaʻa inoa
Hiki iā mākou ke ʻike ua hoʻopau kēia mea hoʻokō i nā lawelawe ʻelua:
"audioendpointbuilder", ka mea, e like me kona inoa e hōʻike nei, pili i ka leo ʻōnaehana,
Laiki. 23: Hoʻopau ka laʻana i ka lawelawe leo ʻōnaehana
и Samss, he lawelawe mālama moʻokāki. ʻO ka hoʻokuʻu ʻana i kēia mau lawelawe ʻelua kahi hiʻohiʻona o Ryuk. I kēia hihia, inā pili ka ʻōnaehana i kahi ʻōnaehana SIEM, hoʻāʻo ka ransomware e hoʻōki i ka hoʻouna ʻana iā nā ʻōlelo aʻo. Ma kēia ala, pale ʻo ia i kāna mau ʻanuʻu aʻe no ka mea ʻaʻole hiki i kekahi mau lawelawe SAM ke hoʻomaka pololei i kā lākou hana ma hope o ka hoʻokō ʻana iā Ryuk.
Laiki. 24: Hoʻopau ka laʻana i ka lawelawe ʻo Samss
5.2 Nā Pono
Ma ka ʻōlelo maʻamau, hoʻomaka ʻo Ryuk ma ka neʻe ʻana ma ka ʻaoʻao i loko o ka pūnaewele a i ʻole e hoʻokuʻu ʻia e kekahi malware e like me ai ole ia, , ka mea, i ka wā e piʻi ai ka pono, e hoʻoili i kēia mau kuleana kiʻekiʻe i ka ransomware.
Ma mua, ma ke ʻano he prelude i ke kaʻina hana, ʻike mākou iā ia e hoʻokō i ke kaʻina hana Hoʻokolo, ʻo ia hoʻi, e hāʻawi ʻia nā ʻike palekana o ka hōʻailona komo i ke kahawai, kahi e kiʻi koke ʻia me ka hoʻohana ʻana. GetCurrentThread.
Laiki. 25: Kāhea iā ImpersonateSelf
A laila ʻike mākou e hoʻopili ia i kahi hōʻailona komo me kahi kaula. ʻIke pū mākou ʻo kekahi o nā hae Makemake ʻia, hiki ke hoʻohana ʻia e hoʻomalu i ke komo ʻana i loaʻa i ke kaula. I kēia hihia, ʻo ka waiwai e loaʻa iā edx TOKEN_ALL_ACESS a i ʻole - TOKEN_WRITE.
Laiki. 26: Ke hana ʻana i kahi hōʻailona Flow
A laila e hoʻohana ʻo ia SeDebugPrivilege a e hana i ke kelepona no ka loaʻa ʻana o nā ʻae Debug ma ke kaula, e hopena PROCESS_ALL_ACCESS, hiki iā ia ke komo i nā kaʻina hana e pono ai. I kēia manawa, hāʻawi ʻia ua loaʻa i ka encryptor kahi kahawai i hoʻomākaukau ʻia, ʻo ke koena wale nō ke hele i ka pae hope.
Laiki. 27: Kāhea ʻana iā SeDebugPrivilege a me ka Privilege Escalation Function
Ma kekahi ʻaoʻao, loaʻa iā mākou LookupPrivilegeValueW, e hāʻawi iā mākou i ka ʻike pono e pili ana i nā pono a mākou e makemake ai e hoʻonui.
Laiki. 28: E noi i ka ʻike e pili ana i nā pono no ka piʻi ʻana o ka pono
Ma kekahi ʻaoʻao, loaʻa iā mākou HoʻoponoponoTokenPrivileges, hiki iā mākou ke loaʻa nā kuleana kūpono i kā mākou kahawai. I kēia hihia, ʻo ka mea nui loa Mokuaina Hou, nona ka hae e haawi i na pono.
Laiki. 29: Hoʻonohonoho i nā ʻae no kahi hōʻailona
5.3 Hoʻokō
Ma kēia ʻāpana, e hōʻike mākou i ka hana ʻana o ka hāpana i ke kaʻina hana i ʻōlelo ʻia ma kēia hōʻike.
ʻO ka pahuhopu nui o ke kaʻina hana hoʻokō, a me ka piʻi ʻana, ʻo ia ka loaʻa ʻana o ke komo kope aka. No ka hana ʻana i kēia, pono ʻo ia e hana me kahi kaula me nā kuleana ʻoi aku ka kiʻekiʻe ma mua o nā mea hoʻohana kūloko. Ke loaʻa iā ia nā kuleana kiʻekiʻe, e holoi ʻo ia i nā kope a hoʻololi i nā kaʻina hana ʻē aʻe i hiki ʻole ai ke hoʻi i kahi hoʻihoʻi mua i ka ʻōnaehana hana.
E like me ka mea maʻamau me kēia ʻano malware, hoʻohana ia CreateToolHelp32Snapshotno laila e kiʻi i kahi kiʻi o nā kaʻina hana i kēia manawa a hoʻāʻo e komo i kēlā mau kaʻina me ka hoʻohana ʻana OpenProcess. Ke loaʻa iā ia ke komo i ke kaʻina hana, wehe pū ia i kahi hōʻailona me kāna ʻike e loaʻa ai nā ʻāpana kaʻina.
Laiki. 30: Ke kiʻi ʻana i nā kaʻina hana mai kahi kamepiula
Hiki iā mākou ke ʻike ikaika i ka loaʻa ʻana o ka papa inoa o nā kaʻina hana ma 140002D9C maʻamau me ka hoʻohana ʻana i CreateToolhelp32Snapshot. Ma hope o ka loaʻa ʻana iā lākou, hele ʻo ia i ka papa inoa, e hoʻāʻo ana e wehe i nā kaʻina hana pākahi me ka hoʻohana ʻana iā OpenProcess a hiki i kona kūleʻa. I kēia hihia, ʻo ka hana mua i hiki iā ia ke wehe "taskhost.exe".
Laiki. 31: E hoʻokō i kahi kaʻina hana e loaʻa ai kahi kaʻina hana
Hiki iā mākou ke ʻike ma hope o ka heluhelu ʻana i ke kaʻina hana token ʻike, no laila ke kāhea nei OpenProcessToken me ka palena "20008"
Laiki. 32: E heluhelu i ka ʻike hōʻailona hana
E nānā pū ana ʻo ia ʻaʻole ke kaʻina hana e hoʻokomo ʻia ai csrss.exe, explorer.exe, lsaas.exe a i ʻole he mau kuleana kona NT mana.
Laiki. 33: Nā kaʻina hana i kāpae ʻia
Hiki iā mākou ke ʻike i ke ʻano o ka hana mua ʻana i ka loiloi me ka hoʻohana ʻana i ka ʻike token kaʻina 140002D9C i mea e ʻike ai inā he moʻokāki ka moʻokāki nona nā kuleana e hoʻokō ai i kahi kaʻina hana NT MANA.
Laiki. 34: NT AUTHORITY nānā
A ma hope, ma waho o ke kaʻina hana, nānā ʻo ia ʻaʻole kēia csrss.exe, explorer.exe ai ole ia, lsaas.exe.
Laiki. 35: NT AUTHORITY nānā
Ke lawe ʻo ia i kahi kiʻi o nā kaʻina hana, wehe i nā kaʻina hana, a hōʻoia ʻaʻole i kāpae ʻia kekahi o lākou, ua mākaukau ʻo ia e kākau e hoʻomanaʻo i nā kaʻina hana e hoʻokomo ʻia.
No ka hana ʻana i kēia, mālama mua ia i kahi wahi i ka hoʻomanaʻo (VirtualAllocEx), kākau i loko (KākauKaʻina hoʻomanaʻo) a hana i kahi pae (CreateRemoteThread). No ka hana ʻana me kēia mau hana, hoʻohana ia i nā PID o nā kaʻina hana i koho ʻia, i loaʻa iā ia ma mua CreateToolhelp32Snapshot.
Laiki. 36: Hoʻokomo code
Maanei hiki iā mākou ke nānā ikaika i ke ʻano o ka hoʻohana ʻana i ke kaʻina PID e kāhea i ka hana VirtualAllocEx.
Laiki. 37: Kāhea iā VirtualAllocEx
5.4 Hoʻopili
Ma kēia ʻāpana, e nānā mākou i ka ʻāpana hoʻopunipuni o kēia hāpana. Ma ke kiʻi aʻe hiki iā ʻoe ke ʻike i ʻelua subroutine i kapa ʻia "LoadLibrary_EncodeString"A"Encode_Func", nona ke kuleana no ka hana ʻana i ke kaʻina hana hoʻopunipuni.
Laiki. 38: Nā kaʻina hana hoʻopunipuni
I ka hoʻomaka ʻana hiki iā mākou ke ʻike pehea e hoʻouka ai i kahi kaula e hoʻohana ʻia e hoʻopau i nā mea āpau e pono ai: lawe mai, DLL, kauoha, faila a me CSP.
Laiki. 39: Kaapuni Deobfuscation
Hōʻike ke kiʻi aʻe i ka lawe mua ʻana i hoʻokaʻawale ʻia ma ka papa inoa R4. LoadLibrary. E hoʻohana ʻia kēia ma hope e hoʻouka i nā DLL i makemake ʻia. Hiki iā mākou ke ʻike i kahi laina ʻē aʻe i ka papa inoa R12, i hoʻohana ʻia me ka laina mua e hana i ka deobfuscation.
Laiki. 40: Dynamic deobfuscation
Ke hoʻomau nei ʻo ia i ka hoʻoiho ʻana i nā kauoha e holo ia ma hope e hoʻopau i nā backup, hoʻihoʻi i nā helu, a me nā ʻano boot palekana.
Laiki. 41: Hoʻouka i nā kauoha
A laila hoʻouka ia i kahi e waiho ai i nā faila 3: Windows.bat, holo.sct и hoʻomaka.bat.
Laiki. 42: Wahi Waihona
Hoʻohana ʻia kēia mau faila 3 e nānā i nā pono i loaʻa i kēlā me kēia wahi. Inā ʻaʻole i loaʻa nā pono i koi ʻia, hoʻopau ʻo Ryuk i ka hoʻokō.
Ke hoʻomau nei ka hoʻouka ʻana i nā laina e pili ana i nā faila ʻekolu. Ka mua, DECRYPT_INFORMATION.html, loaʻa ka ʻike e pono ai e hoʻihoʻi i nā faila. Ka lua, P ʻĀHIPU, aia ke kī lehulehu RSA.
Laiki. 43: Laina DECRYPT INFORMATION.html
Ke kolu, UNIQUE_ID_DO_NOT_REMOVE, aia ke kī i hoʻopili ʻia e hoʻohana ʻia i ka hana maʻamau e hana ai i ka hoʻopili ʻana.
Laiki. 44: ʻAʻole Wehe ʻia ka ID UNIQUE Line
ʻO ka hope, hoʻoiho ʻo ia i nā hale waihona puke i makemake ʻia me nā mea lawe mai a me nā CSP (ʻO Microsoft Enhanced RSA и Mea hoʻolako Cryptographic AES).
Laiki. 45: Hoʻouka i nā hale waihona puke
Ma hope o ka pau ʻana o ka deobfuscation, hoʻomaka ia e hana i nā hana i koi ʻia no ka hoʻopili ʻana: helu ʻana i nā drive logical āpau, hoʻokō i nā mea i hoʻouka ʻia i ka hana ma mua, hoʻoikaika i ka noho ʻana i ka ʻōnaehana, hoʻolei i ka faila RyukReadMe.html, hoʻopili, helu ʻana i nā drive pūnaewele āpau. , hoʻololi i nā mea i ʻike ʻia a me kā lākou hoʻopili.
Hoʻomaka ia me ka hoʻouka ʻana"cmd.exe" a me nā moʻolelo kī lehulehu RSA.
Laiki. 46: Hoʻomākaukau no ka hoʻopunipuni
A laila loaʻa iā ia nā drive logical a pau e hoʻohana ana GetLogicalDrives a hoʻopau i nā kākoʻo āpau, hoʻihoʻi i nā wahi a me nā mode boot palekana.
Laiki. 47: Hoʻopau i nā mea hana hoʻōla
Ma hope o kēlā, hoʻoikaika ia i kona noho ʻana i ka ʻōnaehana, e like me kā mākou i ʻike ai ma luna, a kākau i ka faila mua RyukReadMe.html в TEMP.
Laiki. 48: Hoʻopuka i kahi hoʻolaha pānaʻi
Ma kēia kiʻi hiki iā ʻoe ke ʻike i ke ʻano o ka hana ʻana i kahi faila, hoʻoiho i ka ʻike a kākau iā ia:
Laiki. 49: Hoʻouka a kākau ʻana i nā waihona waihona
No ka hiki ke hana i nā hana like ma nā mea hana a pau, hoʻohana ʻo ia
"icacls.exe", e like me kā mākou i hōʻike ai ma luna.
Laiki. 50: Ke hoʻohana nei i ka icalcls.exe
A ʻo ka hope, hoʻomaka ia e hoʻopili i nā faila koe wale no "*.exe", "*.dll", faila ʻōnaehana a me nā wahi ʻē aʻe i kuhikuhi ʻia ma ke ʻano o kahi papa inoa keʻokeʻo i hoʻopili ʻia. No ka hana ʻana i kēia, hoʻohana ʻo ia i nā import: CryptoAcquireContextW (kahi i kuhikuhi ʻia ka hoʻohana ʻana o AES a me RSA), CryptDeriveKey, CryptGenKey, CryptoDestroyKey etc. Ke hoʻāʻo nei hoʻi e hoʻonui i kona hiki ʻana i nā polokalamu pūnaewele ʻike ʻia me ka hoʻohana ʻana iā WNetEnumResourceW a laila hoʻopili iā lākou.
Laiki. 51: Hoʻopili i nā faila ʻōnaehana
6. Hoʻokomo ʻia a me nā hae e pili ana
Aia ma lalo kahi papa e helu ana i nā mea lawe mai a me nā hae i hoʻohana ʻia e ka laʻana:
7. IOC
kūmole
- usersPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ua hōʻuluʻulu ʻia kahi hōʻike loea e pili ana i ka ransomware Ryuk e nā poʻe loea mai ka hale hana antivirus PandaLabs.
8. Nā loulou
1. “Everis y Prisa Radio i hoʻopaʻa ʻia me ka hoʻopaʻa ʻana i nā ʻōnaehana.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Hoʻolaha el 04/11/2019.
2. "ʻAʻole i hoʻokumu ʻia ka maʻi virus e pili ana i ka nui o nā empresas españolas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. "Pepa VB2019: ʻO ka hoʻopaʻi a Shinigami: ka huelo lōʻihi o ka Ryuk malware." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "ʻO ka Huli Pāʻani Nui me Ryuk: ʻO kekahi LucrativebTargeted Ransomware." https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Hoʻolaha ʻia el 10/01/2019.
5. "Pepa VB2019: ʻO ka hoʻopaʻi a Shinigami: ka huelo lōʻihi o ka Ryuk malware." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Source: www.habr.com