Ryuk-ը վերջին մի քանի տարիների ամենահայտնի փրկագին տարբերակներից մեկն է: Քանի որ այն առաջին անգամ հայտնվել է 2018 թվականի ամռանը, այն հավաքել է , հատկապես բիզնես միջավայրում, որը հանդիսանում է նրա հարձակումների հիմնական թիրախը։
1. Ընդհանուր տեղեկություններ
Այս փաստաթուղթը պարունակում է Ryuk ransomware տարբերակի վերլուծություն, ինչպես նաև այն բեռնիչը, որը պատասխանատու է չարամիտ ծրագիրը համակարգում բեռնելու համար:
Ryuk ransomware-ն առաջին անգամ հայտնվել է 2018 թվականի ամռանը։ Ryuk-ի և այլ փրկագինների միջև եղած տարբերություններից մեկն այն է, որ այն ուղղված է կորպորատիվ միջավայրերի վրա հարձակմանը:
2019 թվականի կեսերին կիբերհանցագործական խմբերը հարձակվել են հսկայական թվով իսպանական ընկերությունների վրա՝ օգտագործելով այս փրկագին:
Բրինձ. 1. Հատված El Confidencial-ից Ryuk փրկագնի հարձակման վերաբերյալ [1]
Բրինձ. 2. Հատված El País-ից Ryuk փրկագնի միջոցով իրականացված հարձակման մասին [2]
Այս տարի Ryuk-ը հարձակվել է տարբեր երկրների մեծ թվով ընկերությունների վրա: Ինչպես տեսնում եք ստորև ներկայացված թվերում, ամենաշատը տուժել են Գերմանիան, Չինաստանը, Ալժիրը և Հնդկաստանը:
Համեմատելով կիբեր հարձակումների թիվը՝ մենք կարող ենք տեսնել, որ Ryuk-ը ազդել է միլիոնավոր օգտատերերի վրա և վտանգի է ենթարկել հսկայական քանակությամբ տվյալներ՝ հանգեցնելով լուրջ տնտեսական կորուստների:
Բրինձ. 3. Ռյուկի գլոբալ գործունեության նկարազարդում:
Բրինձ. 4. Ռյուկից ամենաշատ տուժած 16 երկրները
Բրինձ. 5. Ryuk ransomware-ի կողմից հարձակման ենթարկված օգտատերերի թիվը (միլիոններով)
Նման սպառնալիքների սովորական գործառնական սկզբունքի համաձայն՝ այս փրկագինը, գաղտնագրման ավարտից հետո, տուժողին ցույց է տալիս փրկագնի մասին ծանուցում, որը պետք է վճարվի բիթքոյններով նշված հասցեով՝ գաղտնագրված ֆայլերի հասանելիությունը վերականգնելու համար:
Այս չարամիտ ծրագիրը փոխվել է այն պահից, երբ այն առաջին անգամ ներկայացվել է:
Այս փաստաթղթում վերլուծված այս սպառնալիքի տարբերակը հայտնաբերվել է 2020 թվականի հունվարին հարձակման փորձի ժամանակ։
Իր բարդության պատճառով այս չարամիտ ծրագիրը հաճախ վերագրվում է կազմակերպված կիբերհանցագործ խմբերին, որոնք նաև հայտնի են որպես APT խմբեր:
Ryuk կոդի մի մասը նկատելի նմանություն ունի մեկ այլ հայտնի փրկագինի՝ Hermes-ի կոդի և կառուցվածքի հետ, որի հետ նրանք կիսում են մի շարք նույնական գործառույթներ: Ահա թե ինչու Ռյուկը ի սկզբանե կապված էր հյուսիսկորեական Lazarus խմբի հետ, որն այն ժամանակ կասկածվում էր Hermes փրկագնի հետևում կանգնած լինելու մեջ:
CrowdStrike-ի Falcon X ծառայությունը հետագայում նշեց, որ Ryuk-ը իրականում ստեղծվել է WIZARD SPIDER խմբի կողմից [4]:
Այս ենթադրությունը հաստատող որոշ ապացույցներ կան: Նախ, այս փրկագինը գովազդվել է exploit.in կայքում, որը հայտնի ռուսական չարամիտ շուկա է և նախկինում կապված է եղել ռուսական APT խմբերի հետ:
Այս փաստը բացառում է այն տեսությունը, որ Ryuk-ը կարող էր մշակվել Lazarus APT խմբի կողմից, քանի որ դա չի համապատասխանում խմբի գործունեության ձևին:
Բացի այդ, Ryuk-ը գովազդվում էր որպես փրկագին, որը չի աշխատի ռուսական, ուկրաինական և բելառուսական համակարգերում։ Այս վարքագիծը որոշվում է Ryuk-ի որոշ տարբերակներում հայտնաբերված գործառույթով, որտեղ այն ստուգում է համակարգի լեզուն, որի վրա աշխատում է փրկագին ծրագիրը և դադարեցնում դրա գործարկումը, եթե համակարգն ունի ռուսերեն, ուկրաիներեն կամ բելառուսերեն լեզու: Վերջապես, WIZARD SPIDER թիմի կողմից կոտրված մեքենայի փորձագիտական վերլուծությունը բացահայտեց մի քանի «արտեֆակտ», որոնք իբր օգտագործվել են Ryuk-ի մշակման մեջ՝ որպես Hermes փրկագինի տարբերակ:
Մյուս կողմից, փորձագետներ Գաբրիելա Նիկոլաոն և Լուչիանո Մարտինսը ենթադրեցին, որ փրկագին կարող է մշակվել APT խմբի CryptoTech [5] կողմից:
Սա բխում է այն փաստից, որ Ryuk-ի հայտնվելուց մի քանի ամիս առաջ այս խումբը նույն կայքի ֆորումում տեղադրել է տեղեկատվություն, որ իրենք մշակել են Hermes փրկագինի նոր տարբերակը:
Ֆորումի մի քանի օգտատերեր կասկածի տակ են դրել, թե արդյոք CryptoTech-ը իրականում ստեղծել է Ryuk-ը: Այնուհետև խումբը պաշտպանեց իրեն և հայտարարեց, որ ապացույցներ ունի, որ իրենք մշակել են փրկագինի 100%-ը:
2. Բնութագրերը
Մենք սկսում ենք bootloader-ից, որի խնդիրն է նույնականացնել այն համակարգը, որի վրա գտնվում է, որպեսզի հնարավոր լինի գործարկել Ryuk ransomware-ի «ճիշտ» տարբերակը:
Բեռնախցիկի հեշը հետևյալն է.
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Այս ներբեռնողի առանձնահատկություններից մեկն այն է, որ այն չի պարունակում որևէ մետատվյալ, այսինքն. Այս չարամիտ ծրագրի ստեղծողները դրա մեջ որևէ տեղեկություն չեն ներառել։
Երբեմն դրանք ներառում են սխալ տվյալներ՝ օգտվողին խաբելու համար, որպեսզի կարծեն, որ իրենք օրինական հավելված են գործարկում: Այնուամենայնիվ, ինչպես կտեսնենք ավելի ուշ, եթե վարակը չի ներառում օգտատերերի փոխազդեցությունը (ինչպես այս փրկագնի դեպքում), ապա հարձակվողները անհրաժեշտ չեն համարում օգտագործել մետատվյալներ։
Բրինձ. 6. մետա տվյալների նմուշ
Նմուշը կազմվել է 32-բիթանոց ձևաչափով, որպեսզի այն կարողանա աշխատել ինչպես 32-բիթանոց, այնպես էլ 64-բիթանոց համակարգերում:
3. Ներթափանցման վեկտոր
Նմուշը, որը ներբեռնում և գործարկում է Ryuk-ը, մուտք է գործել մեր համակարգ հեռակա կապի միջոցով, և մուտքի պարամետրերը ստացվել են նախնական RDP հարձակման միջոցով:
Բրինձ. 7. Հարձակման գրանցում
Հարձակվողին հաջողվել է հեռակա կարգով մուտք գործել համակարգ: Դրանից հետո նա մեր նմուշով ստեղծեց գործարկվող ֆայլ։
Այս գործարկվող ֆայլն արգելափակվել է հակավիրուսային լուծույթով մինչև գործարկումը:
Բրինձ. 8: Կաղապարի կողպեք
Բրինձ. 9: Կաղապարի կողպեք
Երբ վնասակար ֆայլն արգելափակվել է, հարձակվողը փորձել է ներբեռնել գործարկվող ֆայլի կոդավորված տարբերակը, որը նույնպես արգելափակվել է:
Բրինձ. 10. Նմուշների հավաքածու, որը հարձակվողը փորձել է վազել
Ի վերջո, նա փորձեց ներբեռնել մեկ այլ վնասակար ֆայլ գաղտնագրված վահանակի միջոցով
PowerShell-ը՝ հակավիրուսային պաշտպանությունը շրջանցելու համար: Բայց նրան էլ արգելափակեցին։
Բրինձ. 11. PowerShell-ը՝ վնասակար բովանդակությամբ արգելափակված
Բրինձ. 12. PowerShell-ը՝ վնասակար բովանդակությամբ արգելափակված
4. Բեռնիչ
Երբ այն գործարկվում է, այն թղթապանակում գրում է ReadMe ֆայլ % temp%, որը բնորոշ է Ռյուկին։ Այս ֆայլը փրկագնի գրություն է, որը պարունակում է էլփոստի հասցե պրոտոնփոստի տիրույթում, որը բավականին տարածված է այս չարամիտ ծրագրերի ընտանիքում. [էլեկտրոնային փոստով պաշտպանված]
Բրինձ. 13. Փրկագնի պահանջ
Մինչ bootloader-ը աշխատում է, դուք կարող եք տեսնել, որ այն գործարկում է մի քանի գործարկվող ֆայլեր պատահական անուններով: Դրանք պահվում են թաքնված թղթապանակում ՀԱՆՐԱՅԻՆ, բայց եթե օպերացիոն համակարգում տարբերակը ակտիվ չէ «Ցույց տալ թաքնված ֆայլերը և թղթապանակները», ապա դրանք թաքնված կմնան։ Ընդ որում, այս ֆայլերը 64-բիթանոց են, ի տարբերություն մայր ֆայլի, որը 32-բիթանոց է։
Բրինձ. 14. Նմուշի կողմից գործարկվող գործարկվող ֆայլեր
Ինչպես տեսնում եք վերևի նկարում, Ryuk-ը գործարկում է icacls.exe-ը, որը կօգտագործվի բոլոր ACL-ները (Access control lists) փոփոխելու համար՝ այդպիսով ապահովելով դրոշների մուտքն ու փոփոխումը:
Այն բոլոր օգտատերերի կողմից ստանում է ամբողջական մուտք դեպի սարքի բոլոր ֆայլերը (/T)՝ անկախ սխալներից (/C) և առանց որևէ հաղորդագրություն ցուցադրելու (/Q):
Բրինձ. 15. icacls.exe-ի կատարման պարամետրերը գործարկվել են նմուշի կողմից
Կարևոր է նշել, որ Ryuk-ը ստուգում է, թե Windows-ի որ տարբերակն եք աշխատում: Դրա համար նա
կատարում է տարբերակի ստուգում՝ օգտագործելով GetVersionExW, որում այն ստուգում է դրոշի արժեքը lpVersionInformationնշելով, թե արդյոք Windows-ի ընթացիկ տարբերակը ավելի նոր է, քան Windows XP.
Կախված նրանից, թե արդյոք դուք օգտագործում եք Windows XP-ից ավելի ուշ տարբերակ, bootloader-ը կգրի տեղական օգտագործողի թղթապանակում, այս դեպքում՝ թղթապանակում: %Հանրային%.
Բրինձ. 17. Օպերացիոն համակարգի տարբերակի ստուգում
Գրվող ֆայլը Ryuk է։ Այնուհետև այն գործարկում է՝ որպես պարամետր փոխանցելով իր հասցեն:
Բրինձ. 18. Կատարեք Ռյուկին ShellExecute-ի միջոցով
Առաջին բանը, որ անում է Ռյուկը, մուտքագրման պարամետրերն է: Այս անգամ կան երկու մուտքային պարամետր (գործարկվողն ինքնին և կաթիլային հասցեն), որոնք օգտագործվում են սեփական հետքերը հեռացնելու համար:
Բրինձ. 19. Գործընթացի ստեղծում
Կարող եք նաև տեսնել, որ այն գործարկելուց հետո այն ջնջվում է ինքն իրեն՝ այդպիսով չթողնելով իր ներկայության հետք այն թղթապանակում, որտեղ այն կատարվել է:
Բրինձ. 20. ֆայլի ջնջում
5. ՌՅՈՒԿ
5.1 Ներկայություն
Ryuk-ը, ինչպես մյուս չարամիտ ծրագրերը, փորձում է հնարավորինս երկար մնալ համակարգում։ Ինչպես ցույց է տրված վերևում, այս նպատակին հասնելու ուղիներից մեկը գործարկվող ֆայլերի գաղտնի ստեղծումն ու գործարկումն է: Դա անելու համար ամենատարածված պրակտիկան ռեեստրի բանալին փոխելն է CurrentVersionRun- ը.
Այս դեպքում դուք կարող եք տեսնել, որ այդ նպատակով առաջին ֆայլը պետք է գործարկվի VWjRF.exe
(ֆայլի անունը պատահականորեն ստեղծվում է) գործարկում է cmd.exe.
Բրինձ. 21. VWjRF.exe-ի գործարկում
Այնուհետև մուտքագրեք հրամանը RUN Անունով»սվչոսԱյսպիսով, եթե ցանկացած պահի ցանկանում եք ստուգել ռեեստրի ստեղները, կարող եք հեշտությամբ բաց թողնել այս փոփոխությունը՝ հաշվի առնելով այս անվան նմանությունը svchost-ի հետ: Այս բանալի շնորհիվ Ryuk-ն ապահովում է իր ներկայությունը համակարգում: Եթե համակարգը չի ունեցել դեռ վարակված եք, այնուհետև, երբ վերաբեռնեք համակարգը, գործարկիչը նորից կփորձի:
Բրինձ. 22. Նմուշը ապահովում է ներկայությունը ռեեստրի բանալիում
Մենք կարող ենք նաև տեսնել, որ այս գործարկվողը դադարեցնում է երկու ծառայություն.
"audioendpointbuilder», որը, ինչպես իր անունն է հուշում, համապատասխանում է համակարգի ձայնին,
Բրինձ. 23. Նմուշը դադարեցնում է համակարգի աուդիո ծառայությունը
и Սամսս, որը հաշիվների կառավարման ծառայություն է։ Այս երկու ծառայությունների դադարեցումը Ռյուկի հատկանիշն է։ Այս դեպքում, եթե համակարգը միացված է SIEM համակարգին, փրկագինը փորձում է դադարեցնել ուղարկումը դեպի ցանկացած նախազգուշացում: Այս կերպ նա պաշտպանում է իր հաջորդ քայլերը, քանի որ SAM-ի որոշ ծառայություններ չեն կարողանա ճիշտ սկսել իրենց աշխատանքը Ռյուկին կատարելուց հետո։
Բրինձ. 24. Նմուշը դադարեցնում է Samss ծառայությունը
5.2 Արտոնություններ
Ընդհանուր առմամբ, Ryuk-ը սկսում է կողային շարժվելով ցանցի ներսում կամ այն գործարկվում է մեկ այլ չարամիտ ծրագրի միջոցով, ինչպիսին է. կամ , որոնք արտոնությունների մեծացման դեպքում այս բարձր իրավունքները փոխանցում են փրկագին:
Նախօրոք, որպես իրականացման գործընթացի նախերգանք, մենք տեսնում ենք, որ նա իրականացնում է գործընթացը Ինքներդ անձնավորել, ինչը նշանակում է, որ մուտքի նշանի անվտանգության բովանդակությունը կփոխանցվի հոսքին, որտեղ այն անմիջապես կվերցվի՝ օգտագործելով GetCurrentThread.
Բրինձ. 25. Զանգահարեք անձնավորությանը
Այնուհետև մենք տեսնում ենք, որ այն կապելու է մուտքի նշանը թեմայի հետ: Տեսնում ենք նաև, որ դրոշներից մեկն է Ցանկալի մուտք, որը կարող է օգտագործվել վերահսկելու մուտքը, որը կունենա շարանը: Այս դեպքում արժեքը, որը կստանա edx-ը, պետք է լինի TOKEN_ALL_ACESS կամ այլ կերպ - TOKEN_WRITE.
Բրինձ. 26. Flow Token-ի ստեղծում
Հետո նա կօգտագործի SeDebugPrivilege և կանի զանգ՝ թեմայի վրա վրիպազերծման թույլտվություններ ստանալու համար, ինչի արդյունքում PROCESS_ALL_ACCESS, նա կկարողանա մուտք գործել ցանկացած պահանջվող գործընթաց: Այժմ, հաշվի առնելով, որ ծածկագրիչն արդեն ունի պատրաստված հոսք, մնում է միայն անցնել վերջնական փուլ։
Բրինձ. 27. Կանչել SeDebugPrivilege և Privilege Escalation ֆունկցիաները
Մի կողմից, մենք ունենք LookupPrivilegeValueW, որը մեզ տրամադրում է անհրաժեշտ տեղեկատվություն այն արտոնությունների մասին, որոնք մենք ցանկանում ենք ավելացնել։
Բրինձ. 28. Պահանջել տեղեկատվություն արտոնությունների մասին արտոնությունների ընդլայնման համար
Մյուս կողմից, մենք ունենք AdjustToken արտոնություններ, որը թույլ է տալիս մեզ ստանալ անհրաժեշտ իրավունքները մեր հոսքի համար։ Այս դեպքում ամենակարեւորն այն է NewState, որի դրոշը կտրամադրի արտոնություններ։
Բրինձ. 29. Նշանի թույլտվությունների կարգավորում
5.3 Իրականացում
Այս բաժնում մենք ցույց կտանք, թե ինչպես է ընտրանքը կատարում այս հաշվետվության մեջ նախկինում նշված իրականացման գործընթացը:
Իրականացման գործընթացի, ինչպես նաև էսկալացիայի հիմնական նպատակը հասանելիություն ստանալն է ստվերային պատճեններ. Դա անելու համար նա պետք է աշխատի տեղական օգտատիրոջ իրավունքներով ավելի բարձր իրավունքներով թեմայի հետ: Երբ այն ձեռք բերի այդպիսի բարձր իրավունքներ, այն կջնջի պատճենները և փոփոխություններ կկատարի այլ գործընթացներում, որպեսզի անհնար դառնա օպերացիոն համակարգի ավելի վաղ վերականգնման կետ վերադառնալը:
Ինչպես բնորոշ է այս տեսակի չարամիտ ծրագրերին, այն օգտագործում է CreateToolHelp32SnapshotԱյսպիսով, այն վերցնում է ընթացիկ գործող գործընթացների լուսանկարը և փորձում է մուտք գործել այդ գործընթացները՝ օգտագործելով OpenProcess. Գործընթացին հասանելիություն ստանալուց հետո այն նաև բացում է իր տեղեկություններով նշան՝ գործընթացի պարամետրերը ստանալու համար:
Բրինձ. 30. Գործընթացների առբերում համակարգչից
Մենք կարող ենք դինամիկ կերպով տեսնել, թե ինչպես է այն ստանում ընթացիկ 140002D9C-ում գործող գործընթացների ցանկը՝ օգտագործելով CreateToolhelp32Snapshot: Դրանք ստանալուց հետո նա անցնում է ցուցակը, փորձում է մեկ առ մեկ բացել պրոցեսները OpenProcess-ի միջոցով, մինչև հաջողվի։ Այս դեպքում առաջին գործընթացը, որը նա կարողացավ բացել, դա էր «taskhost.exe».
Բրինձ. 31. Դինամիկ կերպով կատարեք գործընթաց՝ գործընթաց ստանալու համար
Մենք կարող ենք տեսնել, որ այն հետագայում կարդում է գործընթացի նշանային տեղեկատվությունը, ուստի այն կանչում է OpenProcessToken պարամետրով»20008"
Բրինձ. 32. Կարդացեք գործընթացի նշանների տեղեկատվությունը
Այն նաև ստուգում է, որ գործընթացն այն չէ, որին այն ներարկվելու է csrss.exe, explorer.exe, lsaas.exe կամ որ նա ունի մի շարք իրավունքներ NT իշխանություն.
Բրինձ. 33. Բացառված գործընթացներ
Մենք կարող ենք դինամիկ կերպով տեսնել, թե ինչպես է այն առաջին անգամ կատարում ստուգումը, օգտագործելով գործընթացի նշանի տեղեկատվությունը 140002D9C պարզելու համար, թե արդյոք այն հաշիվը, որի իրավունքները օգտագործվում են գործընթացն իրականացնելու համար, հաշիվ է NT ԻՇԽԱՆՈՒԹՅՈՒՆ.
Բրինձ. 34. NT ԻՇԽԱՆՈՒԹՅԱՆ ստուգում
Իսկ հետո, ընթացակարգից դուրս, ստուգում է, որ դա չէ csrss.exe, explorer.exe կամ lsaas.exe.
Բրինձ. 35. NT ԻՇԽԱՆՈՒԹՅԱՆ ստուգում
Երբ նա նկարում է գործընթացները, բացում գործընթացները և ստուգում, որ դրանցից ոչ մեկը բացառված չէ, նա պատրաստ է հիշողության մեջ գրել այն գործընթացները, որոնք ներարկվելու են:
Դա անելու համար այն նախ պահպանում է հիշողության տարածքը (VirtualAllocEx), գրում է դրան (WriteProcessmemory) և ստեղծում է թեմա (CreateRemoteThread) Այս գործառույթների հետ աշխատելու համար այն օգտագործում է ընտրված պրոցեսների PID-ները, որոնք նախկինում ձեռք է բերել օգտագործելով CreateToolhelp32Snapshot.
Բրինձ. 36: Տեղադրել կոդը
Այստեղ մենք կարող ենք դինամիկ կերպով դիտարկել, թե ինչպես է այն օգտագործում գործընթացի PID գործառույթը կանչելու համար VirtualAllocEx.
Բրինձ. 37. Զանգահարեք VirtualAllocEx-ին
5.4 Կոդավորումը
Այս բաժնում մենք կանդրադառնանք այս նմուշի կոդավորման հատվածին: Հետևյալ նկարում կարող եք տեսնել երկու ենթածրագրեր, որոնք կոչվում են «LoadLibrary_EncodeString«Եվ»Encode_Func», որոնք պատասխանատու են գաղտնագրման ընթացակարգի կատարման համար։
Բրինձ. 38. Գաղտնագրման ընթացակարգեր
Սկզբում մենք կարող ենք տեսնել, թե ինչպես է այն բեռնում մի տող, որը հետագայում կօգտագործվի վերացնելու համար այն ամենը, ինչ անհրաժեշտ է՝ ներմուծումներ, DLL-ներ, հրամաններ, ֆայլեր և CSP-ներ:
Բրինձ. 39. Ապաբուսակցման միացում
Հետևյալ նկարը ցույց է տալիս R4 գրանցամատյանում այն ապաբուսականացված առաջին ներմուծումը: Loadlibrary. Սա հետագայում կօգտագործվի պահանջվող DLL-ները բեռնելու համար: Մենք կարող ենք նաև տեսնել մեկ այլ տող R12 ռեգիստրում, որն օգտագործվում է նախորդ տողի հետ մեկտեղ deobfuscation կատարելու համար:
Բրինձ. 40. Դինամիկ ապաբուսակացիա
Այն շարունակում է ներբեռնել հրամաններ, որոնք այն կաշխատի ավելի ուշ՝ անջատելու պահուստավորումը, վերականգնման կետերը և անվտանգ բեռնման ռեժիմները:
Բրինձ. 41. հրամանների բեռնում
Այնուհետև այն բեռնում է այն վայրը, որտեղ այն կթողնի 3 ֆայլ. Windows.bat, run.sct и start.bat.
Բրինձ. 42. Ֆայլերի տեղադրություններ
Այս 3 ֆայլերը օգտագործվում են ստուգելու յուրաքանչյուր վայրի արտոնությունները: Եթե անհրաժեշտ արտոնությունները հասանելի չեն, Ryuk-ը դադարեցնում է կատարումը:
Այն շարունակում է բեռնել երեք ֆայլերին համապատասխանող տողերը։ Առաջին, DECRYPT_INFORMATION.html, պարունակում է տեղեկատվություն, որն անհրաժեշտ է ֆայլերը վերականգնելու համար: Երկրորդ, ՀԱՆՐԱՅԻՆ, պարունակում է RSA հանրային բանալին:
Բրինձ. 43. Տող DECRYPT INFORMATION.html
Երրորդ, UNIQUE_ID_DO_NOT_REMOVE, պարունակում է գաղտնագրված բանալին, որը կօգտագործվի հաջորդ ռեժիմում՝ գաղտնագրումը կատարելու համար:
Բրինձ. 44. Գծի եզակի ID ՄԻ ՀԵՌԱՑՆԵՔ
Վերջապես, այն ներբեռնում է պահանջվող գրադարանները՝ անհրաժեշտ ներմուծման և CSP-ների հետ միասին (Microsoft-ի ընդլայնված RSA и AES Կրիպտոգրաֆիկ Մատակարար).
Բրինձ. 45. Գրադարանների բեռնում
Ամբողջ deobfuscation-ի ավարտից հետո այն անցնում է գաղտնագրման համար պահանջվող գործողությունների կատարմանը. թվարկել բոլոր տրամաբանական կրիչներ, կատարել նախորդ ռեժիմում բեռնվածը, ուժեղացնել ներկայությունը համակարգում, նետել RyukReadMe.html ֆայլը, գաղտնագրում, թվարկել բոլոր ցանցային կրիչներ: , անցում հայտնաբերված սարքերին և դրանց կոդավորումը:
Ամեն ինչ սկսվում է բեռնումից»cmd.exe« և RSA հանրային բանալիների գրառումները:
Բրինձ. 46. Պատրաստվում է ծածկագրմանը
Այնուհետև այն ստանում է բոլոր տրամաբանական կրիչներն օգտագործելով GetLogicalDrives և անջատում է բոլոր կրկնօրինակումները, վերականգնման կետերը և անվտանգ բեռնման ռեժիմները:
Բրինձ. 47. Վերականգնման գործիքների անջատում
Դրանից հետո այն ուժեղացնում է իր ներկայությունը համակարգում, ինչպես տեսանք վերևում, և գրում է առաջին ֆայլը RyukReadMe.html в TEMP- ը.
Բրինձ. 48. Փրկագնի մասին ծանուցում հրապարակելը
Հետևյալ նկարում կարող եք տեսնել, թե ինչպես է այն ստեղծում ֆայլ, ներբեռնում բովանդակությունը և գրում այն.
Բրինձ. 49. Ֆայլի բովանդակության բեռնում և գրում
Բոլոր սարքերում միևնույն գործողություններն իրականացնելու համար նա օգտագործում է
"icacls.exe», ինչպես ցույց տվեցինք վերևում։
Բրինձ. 50: Օգտագործելով icalcls.exe
Եվ վերջապես, այն սկսում է գաղտնագրել ֆայլերը, բացառությամբ «*.exe», «*.dll» ֆայլերի, համակարգի ֆայլերի և գաղտնագրված սպիտակ ցուցակի տեսքով նշված այլ վայրերի: Դա անելու համար այն օգտագործում է ներմուծում. CryptAcquireContextW (որտեղ նշված է AES-ի և RSA-ի օգտագործումը), CryptDeriveKey, CryptGenKey, CryptDestroyKey և այլն: Այն նաև փորձում է ընդլայնել իր հասանելիությունը հայտնաբերված ցանցային սարքերին՝ օգտագործելով WNetEnumResourceW, այնուհետև գաղտնագրել դրանք:
Բրինձ. 51. Համակարգային ֆայլերի գաղտնագրում
6. Ներմուծում և համապատասխան դրոշներ
Ստորև բերված է աղյուսակ, որը թվարկում է նմուշի կողմից օգտագործված առավել համապատասխան ներմուծումները և դրոշները.
7. ՄՕԿ
Սայլակ
- usersPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ryuk ransomware-ի վերաբերյալ տեխնիկական հաշվետվություն են կազմել PandaLabs հակավիրուսային լաբորատորիայի փորձագետները:
8. Հղումներ
1. «Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas».https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019:
2. «Un virus de origen ruso ataca a importantes empresas españolas»: https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019:
3. «VB2019 թուղթ. Շինիգամիի վրեժը. Ryuk չարամիտ ծրագրի երկար պոչը»: https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. «Մեծ խաղերի որս Ռյուկի հետ. ևս մեկ շահութաբեր, նպատակաուղղված փրկագին»:https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-nother-lucrative-targeted-ransomware/, Հրապարակվել է 10/01/2019:
5. «VB2019 թուղթ. Shinigami-ի վրեժը. Ryuk չարամիտ ծրագրի երկար պոչը»: https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigami-revenge-long-tail-r
Source: www.habr.com