Ryuk์ ์ง๋ ๋ช ๋
๋์ ๊ฐ์ฅ ์ ๋ช
ํ ๋์ฌ์จ์ด ์ต์
์ค ํ๋์
๋๋ค. 2018๋
์ฌ๋ฆ ์ฒ์ ๋ฑ์ฅํ ์ดํ ์ง๊ธ๊น์ง
1. ์ผ๋ฐ ์ ๋ณด
์ด ๋ฌธ์์๋ Ryuk ๋์ฌ์จ์ด ๋ณ์ข ์ ๋ํ ๋ถ์๊ณผ ์ ์ฑ ์ฝ๋๋ฅผ ์์คํ ์ ๋ก๋ํ๋ ๋ก๋๊ฐ ํฌํจ๋์ด ์์ต๋๋ค.
Ryuk ๋์ฌ์จ์ด๋ 2018๋ ์ฌ๋ฆ์ ์ฒ์ ๋ฑ์ฅํ์ต๋๋ค. Ryuk๊ณผ ๋ค๋ฅธ ๋์ฌ์จ์ด์ ์ฐจ์ด์ ์ค ํ๋๋ ๊ธฐ์ ํ๊ฒฝ ๊ณต๊ฒฉ์ ๋ชฉํ๋ก ํ๋ค๋ ์ ์ ๋๋ค.
2019๋ ์ค๋ฐ, ์ฌ์ด๋ฒ ๋ฒ์ฃ ๊ทธ๋ฃน์ ์ด ๋์ฌ์จ์ด๋ฅผ ์ฌ์ฉํ์ฌ ์๋ง์ ์คํ์ธ ๊ธฐ์ ์ ๊ณต๊ฒฉํ์ต๋๋ค.
์. 1: Ryuk ๋์ฌ์จ์ด ๊ณต๊ฒฉ์ ๊ดํ El Confidencial์์ ๋ฐ์ท [1]
์. 2: Ryuk ๋์ฌ์จ์ด๋ฅผ ์ฌ์ฉํ์ฌ ์ํ๋ ๊ณต๊ฒฉ์ ๋ํ El Paรญs์์ ๋ฐ์ท [2]
์ฌํด ๋ฅํฌ๋ ๋ค์ํ ๋๋ผ์ ์๋ง์ ๊ธฐ์
์ ๊ณต๊ฒฉํ๋ค. ์๋ ๊ทธ๋ฆผ์์ ๋ณผ ์ ์๋ฏ์ด ๋
์ผ, ์ค๊ตญ, ์์ ๋ฆฌ, ์ธ๋๊ฐ ๊ฐ์ฅ ํฐ ํ๊ฒฉ์ ์
์์ต๋๋ค.
์ฌ์ด๋ฒ ๊ณต๊ฒฉ ํ์๋ฅผ ๋น๊ตํ๋ฉด Ryuk์ด ์๋ฐฑ๋ง ๋ช ์ ์ฌ์ฉ์์๊ฒ ์ํฅ์ ๋ฏธ์น๊ณ ๋ง๋ํ ์์ ๋ฐ์ดํฐ๋ฅผ ์์์์ผ ์ฌ๊ฐํ ๊ฒฝ์ ์ ์์ค์ ์ด๋ํ์์ ์ ์ ์์ต๋๋ค.
์. 3: Ryuk์ ๊ธ๋ก๋ฒ ํ๋์ ๋ณด์ฌ์ฃผ๋ ๊ทธ๋ฆผ์
๋๋ค.
์. 4: Ryuk์ ์ํฅ์ ๊ฐ์ฅ ๋ง์ด ๋ฐ๋ 16๊ฐ ๊ตญ๊ฐ
์. 5: Ryuk ๋์ฌ์จ์ด์ ๊ณต๊ฒฉ์ ๋ฐ์ ์ฌ์ฉ์ ์(์๋ฐฑ๋ง ๋ช
)
์ด๋ฌํ ์ํ์ ์ผ๋ฐ์ ์ธ ์๋ ์๋ฆฌ์ ๋ฐ๋ฅด๋ฉด, ์ด ๋์ฌ์จ์ด๋ ์ํธํ๊ฐ ์๋ฃ๋ ํ ํผํด์์๊ฒ ์ํธํ๋ ํ์ผ์ ๋ํ ์ก์ธ์ค๋ฅผ ๋ณต์ํ๋ ค๋ฉด ์ง์ ๋ ์ฃผ์๋ก ๋นํธ์ฝ์ธ์ ์ง๋ถํด์ผ ํ๋ค๋ ๋ชธ๊ฐ ์๋ฆผ์ ํ์ํฉ๋๋ค.
์ด ์
์ฑ์ฝ๋๋ ์ฒ์ ์๊ฐ๋ ์ดํ๋ก ๋ณ๊ฒฝ๋์์ต๋๋ค.
์ด ๋ฌธ์์์ ๋ถ์๋ ์ด ์ํ์ ๋ณ์ข
์ 2020๋
XNUMX์ ๊ณต๊ฒฉ ์๋ ์ค์ ๋ฐ๊ฒฌ๋์์ต๋๋ค.
์ด ์ ์ฑ ์ฝ๋๋ ๋ณต์ก์ฑ์ผ๋ก ์ธํด APT ๊ทธ๋ฃน์ด๋ผ๊ณ ๋ ์๋ ค์ง ์กฐ์งํ๋ ์ฌ์ด๋ฒ ๋ฒ์ฃ ๊ทธ๋ฃน์ ์ํ์ผ๋ก ์ฌ๊ฒจ์ง๋ ๊ฒฝ์ฐ๊ฐ ๋ง์ต๋๋ค.
Ryuk ์ฝ๋์ ์ผ๋ถ๋ ๋ค๋ฅธ ์ ์๋ ค์ง ๋์ฌ์จ์ด์ธ Hermes์ ์ฝ๋ ๋ฐ ๊ตฌ์กฐ์ ๋์ ๋๊ฒ ์ ์ฌํ๋ฉฐ, ์ด ๋์ฌ์จ์ด๋ ์ฌ๋ฌ ๋์ผํ ๊ธฐ๋ฅ์ ๊ณต์ ํฉ๋๋ค. ์ด๊ฒ์ด ๋ฐ๋ก Ryuk์ด ์ฒ์์ ๋น์ Hermes ๋์ฌ์จ์ด์ ๋ฐฐํ๋ก ์์ฌ๋์๋ ๋ถํ ๊ทธ๋ฃน Lazarus์ ์ฐ๊ฒฐ๋์๋ ์ด์ ์ ๋๋ค.
์ดํ CrowdStrike์ Falcon X ์๋น์ค์์๋ Ryuk์ด ์ค์ ๋ก WIZARD SPIDER ๊ทธ๋ฃน[4]์ ์ํด ๋ง๋ค์ด์ก๋ค๊ณ ์ธ๊ธํ์ต๋๋ค.
์ด ๊ฐ์ ์ ๋ท๋ฐ์นจํ๋ ๋ช ๊ฐ์ง ์ฆ๊ฑฐ๊ฐ ์์ต๋๋ค. ์ฒซ์งธ, ์ด ๋์ฌ์จ์ด๋ ๋ฌ์์์ ์ ์๋ ค์ง ์
์ฑ์ฝ๋ ๋ง์ผํ๋ ์ด์ค์ด์ ์ด์ ์ ์ผ๋ถ ๋ฌ์์ APT ๊ทธ๋ฃน๊ณผ ์ฐ๊ด๋ ์น์ฌ์ดํธexploit.in์ ๊ด๊ณ ๋์์ต๋๋ค.
์ด ์ฌ์ค์ Ryuk์ด Lazarus APT ๊ทธ๋ฃน์ ์ํด ๊ฐ๋ฐ๋์์ ์ ์๋ค๋ ์ด๋ก ์ ๋ฐฐ์ ํฉ๋๋ค. ๊ทธ๋ฃน์ด ์ด์๋๋ ๋ฐฉ์๊ณผ ๋ง์ง ์์ต๋๋ค.
๋ํ Ryuk์ ๋ฌ์์, ์ฐํฌ๋ผ์ด๋, ๋ฒจ๋ก๋ฃจ์ ์์คํ ์์๋ ์๋ํ์ง ์๋ ๋์ฌ์จ์ด๋ก ๊ด๊ณ ๋์์ต๋๋ค. ์ด ๋์์ ์ผ๋ถ ๋ฒ์ ์ Ryuk์ ์๋ ๊ธฐ๋ฅ์ ์ํด ๊ฒฐ์ ๋ฉ๋๋ค. ์ด ๊ธฐ๋ฅ์ ๋์ฌ์จ์ด๊ฐ ์คํ ์ค์ธ ์์คํ ์ ์ธ์ด๋ฅผ ํ์ธํ๊ณ ์์คํ ์ ๋ฌ์์์ด, ์ฐํฌ๋ผ์ด๋์ด ๋๋ ๋ฒจ๋ผ๋ฃจ์ค์ด๊ฐ ์๋ ๊ฒฝ์ฐ ๋์ฌ์จ์ด์ ์คํ์ ์ค์งํฉ๋๋ค. ๋ง์ง๋ง์ผ๋ก WIZARD SPIDER ํ์ด ํดํนํ ์์คํ ์ ๋ํ ์ ๋ฌธ๊ฐ ๋ถ์์ ํตํด Hermes ๋์ฌ์จ์ด์ ๋ณ์ข ์ธ Ryuk ๊ฐ๋ฐ์ ์ฌ์ฉ๋ ๊ฒ์ผ๋ก ์ถ์ ๋๋ ์ฌ๋ฌ "์ํฐํฉํธ"๊ฐ ๋ฐํ์ก์ต๋๋ค.
๋ฐ๋ฉด, ์ ๋ฌธ๊ฐ Gabriela Nicolao์ Luciano Martins๋ ํด๋น ๋์ฌ์จ์ด๊ฐ APT ๊ทธ๋ฃน์ธ CryptoTech[5]์ ์ํด ๊ฐ๋ฐ๋์์ ์ ์๋ค๊ณ ์ ์ํ์ต๋๋ค.
์ด๋ Ryuk์ด ์ถํํ๊ธฐ ๋ช ๋ฌ ์ ์ ์ด ๊ทธ๋ฃน์ด Hermes ๋์ฌ์จ์ด์ ์ ๋ฒ์ ์ ๊ฐ๋ฐํ๋ค๋ โโ์ ๋ณด๋ฅผ ๋์ผํ ์ฌ์ดํธ์ ํฌ๋ผ์ ๊ฒ์ํ๋ค๋ ์ฌ์ค์์ ๋น๋กฏ๋์์ต๋๋ค.
๋ช๋ช ํฌ๋ผ ์ฌ์ฉ์๋ CryptoTech์ด ์ค์ ๋ก Ryuk์ ๋ง๋ค์๋์ง ์๋ฌธ์ ์ ๊ธฐํ์ต๋๋ค. ๊ทธ๋ฐ ๋ค์ ๊ทธ๋ฃน์ ์ค์ค๋ก๋ฅผ ๋ฐฉ์ดํ๊ณ ๋์ฌ์จ์ด๋ฅผ 100% ๊ฐ๋ฐํ๋ค๋ โโ์ฆ๊ฑฐ๊ฐ ์๋ค๊ณ ๋ฐํ์ต๋๋ค.
2. ํน์ง
์ฐ๋ฆฌ๋ Ryuk ๋์ฌ์จ์ด์ "์ฌ๋ฐ๋ฅธ" ๋ฒ์ ์ด ์คํ๋ ์ ์๋๋ก ์์คํ
์ด ์คํ ์ค์ธ ์์คํ
์ ์๋ณํ๋ ์์
์ ์ํํ๋ ๋ถํธ๋ก๋๋ถํฐ ์์ํฉ๋๋ค.
๋ถํธ๋ก๋ ํด์๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
์ด ๋ค์ด๋ก๋์ ํน์ง ์ค ํ๋๋ ๋ฉํ๋ฐ์ดํฐ๊ฐ ํฌํจ๋์ด ์์ง ์๋ค๋ ๊ฒ์ ๋๋ค. ์ด ์ ์ฑ์ฝ๋์ ์ ์์๋ ์ฌ๊ธฐ์ ์ด๋ ํ ์ ๋ณด๋ ํฌํจํ์ง ์์์ต๋๋ค.
๋๋ก๋ ์ฌ์ฉ์๊ฐ ํฉ๋ฒ์ ์ธ ์์ฉ ํ๋ก๊ทธ๋จ์ ์คํํ๊ณ ์๋ค๊ณ ์๊ฐํ๋๋ก ์์ด๊ธฐ ์ํด ์๋ชป๋ ๋ฐ์ดํฐ๋ฅผ ํฌํจํ๊ธฐ๋ ํฉ๋๋ค. ๊ทธ๋ฌ๋ ๋์ค์ ์ดํด๋ณด๊ฒ ์ง๋ง ๊ฐ์ผ์ด ์ฌ์ฉ์ ์ํธ ์์ฉ๊ณผ ๊ด๋ จ๋์ง ์์ ๊ฒฝ์ฐ(์ด ๋์ฌ์จ์ด์ ๊ฒฝ์ฐ์ฒ๋ผ) ๊ณต๊ฒฉ์๋ ๋ฉํ๋ฐ์ดํฐ๋ฅผ ์ฌ์ฉํ ํ์๊ฐ ์๋ค๊ณ ์๊ฐํฉ๋๋ค.
์. 6: ์ํ ๋ฉํ๋ฐ์ดํฐ
์ํ์ 32๋นํธ ์์คํ ๊ณผ 32๋นํธ ์์คํ ๋ชจ๋์์ ์คํ๋ ์ ์๋๋ก 64๋นํธ ํ์์ผ๋ก ์ปดํ์ผ๋์์ต๋๋ค.
3. ์นจํฌ ๋ฒกํฐ
Ryuk์ ๋ค์ด๋ก๋ํ๊ณ ์คํํ๋ ์ํ์ ์๊ฒฉ ์ฐ๊ฒฐ์ ํตํด ์ฐ๋ฆฌ ์์คํ ์ ์ง์ ํ์ผ๋ฉฐ, ์ฌ์ RDP ๊ณต๊ฒฉ์ ํตํด ์ก์ธ์ค ๋งค๊ฐ๋ณ์๋ฅผ ํ๋ํ์ต๋๋ค.
์. 7: ๊ณต๊ฒฉ ๋ ์ง์คํฐ
๊ณต๊ฒฉ์๋ ์๊ฒฉ์ผ๋ก ์์คํ
์ ๋ก๊ทธ์ธํ๋ ๋ฐ ์ฑ๊ณตํ์ต๋๋ค. ๊ทธ ํ ๊ทธ๋ ์ฐ๋ฆฌ ์ํ์ ์ฌ์ฉํ์ฌ ์คํ ํ์ผ์ ๋ง๋ค์์ต๋๋ค.
์ด ์คํ ํ์ผ์ ์คํ๋๊ธฐ ์ ์ ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ์๋ฃจ์
์ ์ํด ์ฐจ๋จ๋์์ต๋๋ค.
์. 8: ํจํด ์ ๊ธ
์. 9: ํจํด ์ ๊ธ
์ ์ฑ ํ์ผ์ด ์ฐจ๋จ๋์ ๊ณต๊ฒฉ์๋ ์คํ ํ์ผ์ ์ํธํ๋ ๋ฒ์ ์ ๋ค์ด๋ก๋ํ๋ ค๊ณ ์๋ํ์ผ๋ ์ด ์ญ์ ์ฐจ๋จ๋์์ต๋๋ค.
์. 10: ๊ณต๊ฒฉ์๊ฐ ์คํํ๋ ค๊ณ ์๋ํ ์ํ ์ธํธ
๋ง์ง๋ง์ผ๋ก ๊ทธ๋ ์ํธํ๋ ์ฝ์์ ํตํด ๋ ๋ค๋ฅธ ์
์ฑ ํ์ผ์ ๋ค์ด๋ก๋ํ๋ ค๊ณ ์๋ํ์ต๋๋ค.
๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ๋ณดํธ๋ฅผ ์ฐํํ๋ PowerShell์
๋๋ค. ํ์ง๋ง ๊ทธ๋ ์ฐจ๋จ๋๋ค.
์. 11: ์
์ฑ ์ฝํ
์ธ ๊ฐ ์ฐจ๋จ๋ PowerShell
์. 12: ์
์ฑ ์ฝํ
์ธ ๊ฐ ์ฐจ๋จ๋ PowerShell
4. ๋ก๋
์คํ๋๋ฉด ReadMe ํ์ผ์ ํด๋์ ์๋๋ค. % temp %๋ฅผ, ์ด๋ Ryuk์ ์ ํ์ ์ธ ํน์ง์ ๋๋ค. ์ด ํ์ผ์ protonmail ๋๋ฉ์ธ์ ์ด๋ฉ์ผ ์ฃผ์๊ฐ ํฌํจ๋ ๋์ฌ ๋ ธํธ๋ก, ์ด ์ ์ฑ ์ฝ๋ ๊ณ์ด์์ ๋งค์ฐ ์ผ๋ฐ์ ์ ๋๋ค. [์ด๋ฉ์ผ ๋ณดํธ]
์. 13: ๋ชธ๊ฐ ์๊ตฌ
๋ถํธ๋ก๋๊ฐ ์คํ๋๋ ๋์ ์์์ ์ด๋ฆ์ ๊ฐ์ง ์ฌ๋ฌ ์คํ ํ์ผ์ด ์คํ๋๋ ๊ฒ์ ๋ณผ ์ ์์ต๋๋ค. ์จ๊ฒจ์ง ํด๋์ ์ ์ฅ๋์ด ์์ต๋๋ค ๊ณต๊ณต์, ๊ทธ๋ฌ๋ ์ด์ ์ฒด์ ์์ ์ต์ ์ด ํ์ฑํ๋์ง ์์ ๊ฒฝ์ฐ "์จ๊น ํ์ผ ๋ฐ ํด๋ ํ์", ๊ทธ๋ฌ๋ฉด ์จ๊ฒจ์ง ์ํ๋ก ์ ์ง๋ฉ๋๋ค. ๋ํ ์ด๋ฌํ ํ์ผ์ 64๋นํธ์ธ ์์ ํ์ผ๊ณผ ๋ฌ๋ฆฌ 32๋นํธ์ ๋๋ค.
์. 14: ์ํ์์ ์คํ๋๋ ์คํ ํ์ผ
์ ์ด๋ฏธ์ง์์ ๋ณผ ์ ์๋ฏ์ด Ryuk์ ๋ชจ๋ ACL(์ก์ธ์ค ์ ์ด ๋ชฉ๋ก)์ ์์ ํ๋ ๋ฐ ์ฌ์ฉ๋๋ icacls.exe๋ฅผ ์คํํ์ฌ ํ๋๊ทธ์ ์ก์ธ์ค ๋ฐ ์์ ์ ๋ณด์ฅํฉ๋๋ค.
์ค๋ฅ(/C)์ ๊ด๊ณ์์ด ๋ฉ์์ง(/Q)๋ฅผ ํ์ํ์ง ์๊ณ ๋ชจ๋ ์ฌ์ฉ์๊ฐ ์ฅ์น(/T)์ ๋ชจ๋ ํ์ผ์ ๋ํ ์ ์ฒด ์ก์ธ์ค ๊ถํ์ ์ป์ต๋๋ค.
์. 15: ์ํ์ ์ํด ์คํ๋ icacls.exe์ ์คํ ๋งค๊ฐ๋ณ์
Ryuk์ ์คํ ์ค์ธ Windows ๋ฒ์ ์ ํ์ธํ๋ค๋ ์ ์ ์ ์ํ๋ ๊ฒ์ด ์ค์ํฉ๋๋ค. ์ด๋ฅผ ์ํด ๊ทธ๋
๋ค์์ ์ฌ์ฉํ์ฌ ๋ฒ์ ํ์ธ์ ์ํํฉ๋๋ค. GetVersionExW, ํ๋๊ทธ ๊ฐ์ ํ์ธํฉ๋๋ค. lp๋ฒ์ ์ ๋ณดํ์ฌ Windows ๋ฒ์ ์ด ๋ค์ ๋ฒ์ ๋ณด๋ค ์ต์ ์ธ์ง ์ฌ๋ถ๋ฅผ ๋ํ๋
๋๋ค. ์๋์ฐ XP.
Windows XP ์ดํ ๋ฒ์ ์ ์คํํ๋์ง ์ฌ๋ถ์ ๋ฐ๋ผ ๋ถํธ ๋ก๋๋ ๋ก์ปฌ ์ฌ์ฉ์ ํด๋(์ด ๊ฒฝ์ฐ ํด๋)์ ๊ธฐ๋กํฉ๋๋ค. %๊ณต๊ณต์%.
์. 17: ์ด์์ฒด์ ๋ฒ์ ํ์ธํ๊ธฐ
์์ฑ ์ค์ธ ํ์ผ์ Ryuk์ ๋๋ค. ๊ทธ๋ฐ ๋ค์ ์์ฒด ์ฃผ์๋ฅผ ๋งค๊ฐ๋ณ์๋ก ์ ๋ฌํ์ฌ ์คํํฉ๋๋ค.
์. 18: ShellExecute๋ฅผ ํตํด Ryuk ์คํ
Ryuk์ด ๊ฐ์ฅ ๋จผ์ ํ๋ ์ผ์ ์ ๋ ฅ ๋งค๊ฐ๋ณ์๋ฅผ ๋ฐ๋ ๊ฒ์ ๋๋ค. ์ด๋ฒ์๋ ์์ฒด ์ถ์ ์ ์ ๊ฑฐํ๋ ๋ฐ ์ฌ์ฉ๋๋ ๋ ๊ฐ์ ์ ๋ ฅ ๋งค๊ฐ๋ณ์(์คํ ํ์ผ ์์ฒด์ ๋๋กํผ ์ฃผ์)๊ฐ ์์ต๋๋ค.
์. 19: ํ๋ก์ธ์ค ์์ฑ
๋ํ ์คํ ํ์ผ์ ์คํํ ํ์๋ ์ค์ค๋ก ์ญ์ ๋๋ฏ๋ก ์คํ๋ ํด๋์ ์์ ์ ์กด์ฌ์ ๋ํ ํ์ ์ด ๋จ์ง ์๋ ๊ฒ์ ๋ณผ ์ ์์ต๋๋ค.
์. 20: ํ์ผ ์ญ์
5. ๋ฅํฌ
5.1 ์กด์ฌ
Ryuk์ ๋ค๋ฅธ ์
์ฑ ์ฝ๋์ ๋ง์ฐฌ๊ฐ์ง๋ก ๊ฐ๋ฅํ ํ ์ค๋ซ๋์ ์์คํ
์ ๋จธ๋ฌผ๋ ค๊ณ ํฉ๋๋ค. ์์์ ๋ณธ ๊ฒ์ฒ๋ผ ์ด ๋ชฉํ๋ฅผ ๋ฌ์ฑํ๋ ํ ๊ฐ์ง ๋ฐฉ๋ฒ์ ์คํ ํ์ผ์ ๋น๋ฐ๋ฆฌ์ ์์ฑํ๊ณ ์คํํ๋ ๊ฒ์
๋๋ค. ์ด๋ฅผ ์ํด ๊ฐ์ฅ ์ผ๋ฐ์ ์ธ ๋ฐฉ๋ฒ์ ๋ ์ง์คํธ๋ฆฌ ํค๋ฅผ ๋ณ๊ฒฝํ๋ ๊ฒ์
๋๋ค. ํ์ฌ ๋ฒ์ ์คํ.
์ด ๊ฒฝ์ฐ ์ด ๋ชฉ์ ์ผ๋ก ์ฒซ ๋ฒ์งธ ํ์ผ์ด ์คํ๋๋ ๊ฒ์ ๋ณผ ์ ์์ต๋๋ค. VWjRF.exe
(ํ์ผ ์ด๋ฆ์ ์์๋ก ์์ฑ๋จ) ์คํ cmd.exe๋ฅผ.
์. 21: VWjRF.exe ์คํ
๊ทธ๋ฐ ๋ค์ ๋ช ๋ น์ ์ ๋ ฅํ์ญ์์ค. ์ด์ ์ด๋ฆ์ผ๋ก "์ค๋ธ์ด์ค". ๋ฐ๋ผ์ ์ธ์ ๋ ์ง ๋ ์ง์คํธ๋ฆฌ ํค๋ฅผ ํ์ธํ๋ ค๋ ๊ฒฝ์ฐ ์ด ์ด๋ฆ์ด svchost์ ์ ์ฌํ๊ธฐ ๋๋ฌธ์ ์ด ๋ณ๊ฒฝ ์ฌํญ์ ์ฝ๊ฒ ๋์น ์ ์์ต๋๋ค. ์ด ํค ๋๋ถ์ Ryuk์ ์์คํ ์ ํด๋น ํค๊ฐ ์๋์ง ํ์ธํฉ๋๋ค. ์์คํ ์ด ๊ทธ๋ ์ง ์์ ๊ฒฝ์ฐ ์์ง ๊ฐ์ผ๋์ง ์์ ๊ฒฝ์ฐ ์์คํ ์ ์ฌ๋ถํ ํ๋ฉด ์คํ ํ์ผ์ด ๋ค์ ์๋๋ฉ๋๋ค.
์. 22: ์ํ์ ๋ ์ง์คํธ๋ฆฌ ํค์ ์กด์ฌํ๋์ง ํ์ธํฉ๋๋ค.
๋ํ ์ด ์คํ ํ์ผ์ด ๋ ๊ฐ์ง ์๋น์ค๋ฅผ ์ค์งํ๋ ๊ฒ์ ๋ณผ ์ ์์ต๋๋ค.
"์ค๋์ค ์๋ํฌ์ธํธ ๋น๋"๋ ์ด๋ฆ์์ ์ ์ ์๋ฏ์ด ์์คํ
์ค๋์ค์ ํด๋นํ๋ฉฐ,
์. 23: ์ํ์ด ์์คํ
์ค๋์ค ์๋น์ค๋ฅผ ์ค์งํฉ๋๋ค.
ะธ ์์ค, ๊ณ์ ๊ด๋ฆฌ ์๋น์ค์
๋๋ค. ์ด ๋ ์๋น์ค๋ฅผ ์ค์งํ๋ ๊ฒ์ Ryuk์ ํน์ง์
๋๋ค. ์ด ๊ฒฝ์ฐ ์์คํ
์ด SIEM ์์คํ
์ ์ฐ๊ฒฐ๋์ด ์์ผ๋ฉด ๋์ฌ์จ์ด๋ ๋ค์์ผ๋ก ์ ์ก์ ์ค์งํ๋ ค๊ณ ์๋ํฉ๋๋ค.
์. 24: ์ํ์ด Samss ์๋น์ค๋ฅผ ์ค์งํฉ๋๋ค.
5.2 ๊ถํ
์ผ๋ฐ์ ์ผ๋ก Ryuk์ ๋คํธ์ํฌ ๋ด์์ ์ธก๋ฉด์ผ๋ก ์ด๋ํ๋ ๊ฒ์ผ๋ก ์์ํ๊ฑฐ๋ ๋ค์๊ณผ ๊ฐ์ ๋ค๋ฅธ ์
์ฑ ์ฝ๋์ ์ํด ์คํ๋ฉ๋๋ค.
์ด์ ์์ ๊ตฌํ ๊ณผ์ ์ ์๋ง์ผ๋ก ๊ณผ์ ์ ์ํํ๋ ๋ชจ์ต์ ๋ณผ ์ ์๋ค. ์์ ์ ๊ฐ์ฅ, ์ด๋ ์ก์ธ์ค ํ ํฐ์ ๋ณด์ ์ฝํ ์ธ ๊ฐ ์คํธ๋ฆผ์ผ๋ก ์ ๋ฌ๋๊ณ ์คํธ๋ฆผ์์ ๋ค์์ ์ฌ์ฉํ์ฌ ์ฆ์ ๊ฒ์๋จ์ ์๋ฏธํฉ๋๋ค. ํ์ฌ์ค๋ ๋ ๊ฐ์ ธ์ค๊ธฐ.
์. 25: ImpersonateSelf ํธ์ถ
๊ทธ๋ฐ ๋ค์ ์ก์ธ์ค ํ ํฐ์ ์ค๋ ๋์ ์ฐ๊ฒฐํ๋ ๊ฒ์ ํ์ธํฉ๋๋ค. ๋ํ ํ๋๊ทธ ์ค ํ๋๊ฐ ๋ค์๊ณผ ๊ฐ์ ๊ฒ์ ๋ณผ ์ ์์ต๋๋ค. ์ํ๋ ์ก์ธ์ค, ์ค๋ ๋๊ฐ ๊ฐ๊ฒ ๋ ์ก์ธ์ค๋ฅผ ์ ์ดํ๋ โโ๋ฐ ์ฌ์ฉํ ์ ์์ต๋๋ค. ์ด ๊ฒฝ์ฐ edx๊ฐ ๋ฐ๋ ๊ฐ์ ๋ค์๊ณผ ๊ฐ์์ผ ํฉ๋๋ค. TOKEN_ALL_ACESS ์๋๋ฉด ๊ทธ๋ ์ง ์์ผ๋ฉด - TOKEN_WRITE.
์. 26: ํ๋ฆ ํ ํฐ ์์ฑ
๊ทธ๋ฌ๋ฉด ๊ทธ๋ ์ฌ์ฉํ ๊ฒ์ด๋ค SeDebug๊ถํ ์ค๋ ๋์ ๋ํ ๋๋ฒ๊ทธ ๊ถํ์ ์ป๊ธฐ ์ํด ํธ์ถํ์ฌ ๊ฒฐ๊ณผ์ ์ผ๋ก PROCESS_ALL_ACCESS, ๊ทธ๋ ํ์ํ ๋ชจ๋ ํ๋ก์ธ์ค์ ์ก์ธ์คํ ์ ์์ต๋๋ค. ์ด์ ์ํธํ๊ธฐ์ ์ด๋ฏธ ์ค๋น๋ ์คํธ๋ฆผ์ด ์์ผ๋ฏ๋ก ๋จ์ ๊ฒ์ ์ต์ข ๋จ๊ณ๋ก ์งํํ๋ ๊ฒ๋ฟ์ ๋๋ค.
์. 27: SeDebugPrivilege ๋ฐ ๊ถํ ์์น ๊ธฐ๋ฅ ํธ์ถ
ํํธ์ผ๋ก๋ ์ฐ๋ฆฌ๊ฐ ๋๋ฆฌ๋ ค๋ ๊ถํ์ ๋ํด ํ์ํ ์ ๋ณด๋ฅผ ์ ๊ณตํ๋ LookupPrivilegeValueW๊ฐ ์์ต๋๋ค.
์. 28: ๊ถํ ์์น์ ์ํ ๊ถํ์ ๋ํ ์ ๋ณด ์์ฒญ
๋ฐ๋ฉด์ ์ฐ๋ฆฌ๋ adjustToken๊ถํ, ์ด๋ฅผ ํตํด ์คํธ๋ฆผ์ ํ์ํ ๊ถ๋ฆฌ๋ฅผ ์ป์ ์ ์์ต๋๋ค. ์ด ๊ฒฝ์ฐ ๊ฐ์ฅ ์ค์ํ ๊ฒ์ ์๋ก์ด ์ํ, ๊ทธ ํ๋๊ทธ๋ ๊ถํ์ ๋ถ์ฌํฉ๋๋ค.
์. 29: ํ ํฐ์ ๋ํ ๊ถํ ์ค์
5.3 ๊ตฌํ
์ด ์น์ ์์๋ ์ํ์ด ์ด ๋ณด๊ณ ์์์ ์ด์ ์ ์ธ๊ธํ ๊ตฌํ ํ๋ก์ธ์ค๋ฅผ ์ํํ๋ ๋ฐฉ๋ฒ์ ๋ณด์ฌ์ค๋๋ค.
๊ตฌํ ํ๋ก์ธ์ค์ ์์ค์ปฌ๋ ์ด์ ์ ์ฃผ์ ๋ชฉํ๋ ๋ค์์ ๋ํ ์ก์ธ์ค ๊ถํ์ ์ป๋ ๊ฒ์ ๋๋ค. ์๋ ๋ณต์ฌ๋ณธ. ์ด๋ฅผ ์ํด์๋ ๋ก์ปฌ ์ฌ์ฉ์๋ณด๋ค ๋์ ๊ถํ์ ๊ฐ์ง ์ค๋ ๋๋ก ์์ ํด์ผ ํฉ๋๋ค. ์ด๋ฌํ ๋์ ๊ถํ์ ์ป์ผ๋ฉด ์ด์ ์ฒด์ ์ ์ด์ ๋ณต์ ์ง์ ์ผ๋ก ๋์๊ฐ ์ ์๋๋ก ๋ณต์ฌ๋ณธ์ ์ญ์ ํ๊ณ ๋ค๋ฅธ ํ๋ก์ธ์ค๋ฅผ ๋ณ๊ฒฝํฉ๋๋ค.
์ด๋ฌํ ์ ํ์ ์ ์ฑ ์ฝ๋์์๋ ์ผ๋ฐ์ ์ผ๋ก ๋ค์์ ์ฌ์ฉํฉ๋๋ค. CreateToolHelp32Snapshot๋ฐ๋ผ์ ํ์ฌ ์คํ ์ค์ธ ํ๋ก์ธ์ค์ ์ค๋ ์ท์ ์ฐ๊ณ ๋ค์์ ์ฌ์ฉํ์ฌ ํด๋น ํ๋ก์ธ์ค์ ์ก์ธ์คํ๋ ค๊ณ ์๋ํฉ๋๋ค. ์คํํ๋ก์ธ์ค. ํ๋ก์ธ์ค์ ๋ํ ์ก์ธ์ค ๊ถํ์ ์ป์ผ๋ฉด ํ๋ก์ธ์ค ๋งค๊ฐ๋ณ์๋ฅผ ์ป๊ธฐ ์ํ ์ ๋ณด๊ฐ ํฌํจ๋ ํ ํฐ๋ ์ด๋ฆฝ๋๋ค.
์. 30: ์ปดํจํฐ์์ ํ๋ก์ธ์ค ๊ฒ์ํ๊ธฐ
CreateToolhelp140002Snapshot์ ์ฌ์ฉํ์ฌ ๋ฃจํด 9D32C์์ โโ์คํ ์ค์ธ ํ๋ก์ธ์ค ๋ชฉ๋ก์ ๊ฐ์ ธ์ค๋ ๋ฐฉ๋ฒ์ ๋์ ์ผ๋ก ํ์ธํ ์ ์์ต๋๋ค. ์ด๋ฅผ ๋ฐ์ ํ ๊ทธ๋ ๋ชฉ๋ก์ ์ดํด๋ณด๊ณ ์ฑ๊ณตํ ๋๊น์ง OpenProcess๋ฅผ ์ฌ์ฉํ์ฌ ํ๋ก์ธ์ค๋ฅผ ํ๋์ฉ ์ด๋ ค๊ณ ์๋ํฉ๋๋ค. ์ด ๊ฒฝ์ฐ ๊ทธ๊ฐ ์ด ์ ์์๋ ์ฒซ ๋ฒ์งธ ํ๋ก์ธ์ค๋ "taskhost.exe".
์. 31: ํ๋ก์ธ์ค๋ฅผ ์ป๊ธฐ ์ํด ํ๋ก์์ ๋ฅผ ๋์ ์ผ๋ก ์คํํ๊ธฐ
์ดํ์ ํ๋ก์ธ์ค ํ ํฐ ์ ๋ณด๋ฅผ ์ฝ๋ ๊ฒ์ ๋ณผ ์ ์์ต๋๋ค. ์คํํ๋ก์ธ์คํ ํฐ ๋งค๊ฐ๋ณ์ "20008"
์. 32: ํ๋ก์ธ์ค ํ ํฐ ์ ๋ณด ์ฝ๊ธฐ
๋ํ ์ฃผ์ ๋ ํ๋ก์ธ์ค๊ฐ ๋ค์๊ณผ ๊ฐ์์ง ํ์ธํฉ๋๋ค. Csrss.exe-, Explorer.exe, lsaas.exe ๋๋ ๊ทธ์๊ฒ ์ผ๋ จ์ ๊ถ๋ฆฌ๊ฐ ์๋ค๋ ๊ฒ ์ ์ฝ์ ๊ถ์.
์. 33: ์ ์ธ๋ ํ๋ก์ธ์ค
ํ๋ก์ธ์ค ํ ํฐ ์ ๋ณด๋ฅผ ์ฌ์ฉํ์ฌ ์ฒ์ ๊ฒ์ฌ๋ฅผ ์ํํ๋ ๋ฐฉ๋ฒ์ ๋์ ์ผ๋ก ํ์ธํ ์ ์์ต๋๋ค. 140002D9C ํ๋ก์ธ์ค๋ฅผ ์คํํ๊ธฐ ์ํด ๊ถํ์ ์ฌ์ฉํ๊ณ ์๋ ๊ณ์ ์ด ๊ณ์ ์ธ์ง ํ์ธํ๊ธฐ ์ํด NT ๊ถ์.
์. 34: NT ๊ถํ ํ์ธ
๊ทธ๋ฆฌ๊ณ ๋์ค์ ์ ์ฐจ ๋ฐ์์ ๊ทธ๋ ์ด๊ฒ์ด ์ฌ์ค์ด ์๋์ง ํ์ธํฉ๋๋ค. csrss.exe, explorer.exe ๋๋ lsaas.exe.
์. 35: NT ๊ถํ ํ์ธ
์ผ๋จ ํ๋ก์ธ์ค์ ์ค๋ ์ท์ ์ฐ๊ณ , ํ๋ก์ธ์ค๋ฅผ ์ด๊ณ , ๊ทธ ์ค ์ด๋ ๊ฒ๋ ์ ์ธ๋์ง ์์์์ ํ์ธํ๋ค๋ฉด, ์ฃผ์ ๋ ํ๋ก์ธ์ค๋ฅผ ๋ฉ๋ชจ๋ฆฌ์ ๊ธฐ๋กํ ์ค๋น๊ฐ ๋ ๊ฒ์ ๋๋ค.
์ด๋ฅผ ์ํด ๋จผ์ ๋ฉ๋ชจ๋ฆฌ ์์ญ(VirtualAllocEx), ๊ทธ๊ฒ์ ์๋๋ค (์ฐ๊ธฐํ๋ก์ธ์ค๋ฉ๋ชจ๋ฆฌ) ์ค๋ ๋๋ฅผ ์์ฑํ๊ณ (์๊ฒฉ์ค๋ ๋ ์์ฑ). ์ด๋ฌํ ๊ธฐ๋ฅ์ ์ฌ์ฉํ๊ธฐ ์ํด ์ด์ ์ ๋ค์์ ์ฌ์ฉํ์ฌ ์ป์ ์ ํ๋ ํ๋ก์ธ์ค์ PID๋ฅผ ์ฌ์ฉํฉ๋๋ค. CreateToolhelp32์ค๋ ์ท.
์. 36: ์ฝ์
์ฝ๋
์ฌ๊ธฐ์๋ ํ๋ก์ธ์ค PID๋ฅผ ์ฌ์ฉํ์ฌ ํจ์๋ฅผ ํธ์ถํ๋ ๋ฐฉ๋ฒ์ ๋์ ์ผ๋ก ๊ด์ฐฐํ ์ ์์ต๋๋ค. VirtualAllocEx.
์. 37: VirtualAllocEx ํธ์ถ
5.4 ์ํธํ
์ด ์น์
์์๋ ์ด ์ํ์ ์ํธํ ๋ถ๋ถ์ ์ดํด๋ณด๊ฒ ์ต๋๋ค. ๋ค์ ๊ทธ๋ฆผ์์๋ "๋ผ๋ ๋ ๊ฐ์ ์๋ธ๋ฃจํด์ ๋ณผ ์ ์์ต๋๋ค.LoadLibrary_EncodeString"๋ฐ"Encode_Func"๋ ์ํธํ ์ ์ฐจ ์ํ์ ๋ด๋นํฉ๋๋ค.
์. 38: ์ํธํ ์ ์ฐจ
์ฒ์์๋ ๊ฐ์ ธ์ค๊ธฐ, DLL, ๋ช ๋ น, ํ์ผ ๋ฐ CSP ๋ฑ ํ์ํ ๋ชจ๋ ๊ฒ์ ๋๋ ํด์ ํ๋ ๋ฐ ๋์ค์ ์ฌ์ฉ๋๋ ๋ฌธ์์ด์ ๋ก๋ํ๋ ๋ฐฉ๋ฒ์ ๋ณผ ์ ์์ต๋๋ค.
์. 39: ๋๋
ํ ํ๋ก
๋ค์ ๊ทธ๋ฆผ์ ๋ ์ง์คํฐ R4์์ ๋๋ ํํ ์ฒซ ๋ฒ์งธ ๊ฐ์ ธ์ค๊ธฐ๋ฅผ ๋ณด์ฌ์ค๋๋ค. LoadLibrary. ์ด๋ ๋์ค์ ํ์ํ DLL์ ๋ก๋ํ๋ ๋ฐ ์ฌ์ฉ๋ฉ๋๋ค. ๋ํ ๋ ์ง์คํฐ R12์์ ๋๋ ํ๋ฅผ ์ํํ๊ธฐ ์ํด ์ด์ ๋ผ์ธ๊ณผ ํจ๊ป ์ฌ์ฉ๋๋ ๋ ๋ค๋ฅธ ๋ผ์ธ์ ๋ณผ ์ ์์ต๋๋ค.
์. 40: ๋์ ๋๋
ํ ํด์
๋ฐฑ์ , ๋ณต์ ์ง์ ๋ฐ ์์ ๋ถํ ๋ชจ๋๋ฅผ ๋นํ์ฑํํ๊ธฐ ์ํด ๋์ค์ ์คํํ ๋ช ๋ น์ ๊ณ์ ๋ค์ด๋ก๋ํฉ๋๋ค.
์. 41: ๋ช
๋ น์ด ๋ก๋ฉ
๊ทธ๋ฐ ๋ค์ 3๊ฐ์ ํ์ผ์ ์ญ์ ํ ์์น๋ฅผ ๋ก๋ํฉ๋๋ค. Windows.bat, run.sct ะธ start.bat.
์. 42: ํ์ผ ์์น
์ด 3๊ฐ ํ์ผ์ ๊ฐ ์์น์ ๊ถํ์ ํ์ธํ๋ ๋ฐ ์ฌ์ฉ๋ฉ๋๋ค. ํ์ํ ๊ถํ์ ์ฌ์ฉํ ์ ์๋ ๊ฒฝ์ฐ Ryuk์ ์คํ์ ์ค์งํฉ๋๋ค.
์ธ ํ์ผ์ ํด๋นํ๋ ์ค์ ๊ณ์ ๋ก๋ํฉ๋๋ค. ์ฒซ ๋ฒ์งธ, DECRYPT_INFORMATION.html์๋ ํ์ผ์ ๋ณต๊ตฌํ๋ ๋ฐ ํ์ํ ์ ๋ณด๊ฐ ํฌํจ๋์ด ์์ต๋๋ค. ๋๋ฒ์งธ, ๊ณต๊ณต์, RSA ๊ณต๊ฐ ํค๊ฐ ํฌํจ๋์ด ์์ต๋๋ค.
์. 43: ํด๋
์ ๋ณด ๋ผ์ธ.html
์ ์ผ, UNIQUE_ID_DO_NOT_REMOVE์๋ ์ํธํ๋ฅผ ์ํํ๊ธฐ ์ํด ๋ค์ ๋ฃจํด์์ ์ฌ์ฉ๋ ์ํธํ๋ ํค๊ฐ ํฌํจ๋์ด ์์ต๋๋ค.
์. 44: ๋ผ์ธ ๊ณ ์ ID๋ ์ ๊ฑฐํ์ง ๋ง์ธ์
๋ง์ง๋ง์ผ๋ก ํ์ ๊ฐ์ ธ์ค๊ธฐ ๋ฐ CSP์ ํจ๊ป ํ์ ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ฅผ ๋ค์ด๋ก๋ํฉ๋๋ค(๋ง์ดํฌ๋ก์ํํธ ๊ฐํ RSA ะธ AES ์ํธํ ๊ณต๊ธ์).
์. 45: ๋ผ์ด๋ธ๋ฌ๋ฆฌ ๋ก๋ฉ
๋ชจ๋ ๋๋
ํ ์์
์ด ์๋ฃ๋ ํ ๋ชจ๋ ๋
ผ๋ฆฌ ๋๋ผ์ด๋ธ ์ด๊ฑฐ, ์ด์ ๋ฃจํด์ ๋ก๋๋ ๋ด์ฉ ์คํ, ์์คํ
์กด์ฌ ๊ฐํ, RyukReadMe.html ํ์ผ ์ญ์ , ์ํธํ, ๋ชจ๋ ๋คํธ์ํฌ ๋๋ผ์ด๋ธ ์ด๊ฑฐ ๋ฑ ์ํธํ์ ํ์ํ ์์
์ ์ํํฉ๋๋ค. , ๊ฐ์ง๋ ์ฅ์น ๋ฐ ํด๋น ์ํธํ๋ก ์ ํ๋ฉ๋๋ค.
๋ชจ๋ ๊ฒ์ ๋ก๋ฉ์ผ๋ก ์์๋ฉ๋๋ค."cmd.exe๋ฅผ" ๋ฐ RSA ๊ณต๊ฐ ํค ๋ ์ฝ๋.
์. 46: ์ํธํ ์ค๋น
๊ทธ๋ฐ ๋ค์ ๋ค์์ ์ฌ์ฉํ์ฌ ๋ชจ๋ ๋ ผ๋ฆฌ ๋๋ผ์ด๋ธ๋ฅผ ๊ฐ์ ธ์ต๋๋ค. ๋ ผ๋ฆฌ ๋๋ผ์ด๋ธ ๊ฐ์ ธ์ค๊ธฐ ๋ชจ๋ ๋ฐฑ์ , ๋ณต์ ์ง์ ๋ฐ ์์ ๋ถํ ๋ชจ๋๋ฅผ ๋นํ์ฑํํฉ๋๋ค.
์. 47: ๋ณต๊ตฌ ๋๊ตฌ ๋นํ์ฑํํ๊ธฐ
๊ทธ ํ์๋ ์์์ ๋ณธ ๊ฒ์ฒ๋ผ ์์คํ ์์์ ์กด์ฌ๊ฐ์ ๊ฐํํ๊ณ ์ฒซ ๋ฒ์งธ ํ์ผ์ ์์ฑํฉ๋๋ค. RyukReadMe.html ะฒ TEMP.
์. 48: ๋ชธ๊ฐ ๊ณต์ง ๊ฒ์
๋ค์ ๊ทธ๋ฆผ์์๋ ํ์ผ์ ์์ฑํ๊ณ ์ฝํ ์ธ ๋ฅผ ๋ค์ด๋ก๋ํ๊ณ ์์ฑํ๋ ๋ฐฉ๋ฒ์ ๋ณผ ์ ์์ต๋๋ค.
์. 49: ํ์ผ ๋ด์ฉ ๋ก๋ ๋ฐ ์ฐ๊ธฐ
๋ชจ๋ ์ฅ์น์์ ๋์ผํ ์์
์ ์ํํ ์ ์๋๋ก ๊ทธ๋ ๋ค์์ ์ฌ์ฉํฉ๋๋ค.
"icacls.exe", ์์ ๋ณด์ฌ๋๋ฆฐ ๊ฒ์ฒ๋ผ์.
์. 50: icalcls.exe ์ฌ์ฉํ๊ธฐ
๋ง์ง๋ง์ผ๋ก ์ํธํ๋ ํ์ดํธ๋ฆฌ์คํธ ํ์์ผ๋ก ์ง์ ๋ โ*.exeโ, โ*.dllโ ํ์ผ, ์์คํ ํ์ผ ๋ฐ ๊ธฐํ ์์น๋ฅผ ์ ์ธํ ํ์ผ ์ํธํ๋ฅผ ์์ํฉ๋๋ค. ์ด๋ฅผ ์ํด import๋ฅผ ์ฌ์ฉํฉ๋๋ค. CryptAcquireContextW (AES ๋ฐ RSA ์ฌ์ฉ์ด ์ง์ ๋ ๊ฒฝ์ฐ) CryptDeriveKey, CryptGenKey, ํฌ๋ฆฝํธํ๊ดดํค ๋ฑ. ๋ํ WNetEnumResourceW๋ฅผ ์ฌ์ฉํ์ฌ ๊ฒ์๋ ๋คํธ์ํฌ ์ฅ์น๋ก ๋ฒ์๋ฅผ ํ์ฅํ ๋ค์ ์ํธํํ๋ ค๊ณ ์๋ํฉ๋๋ค.
์. 51: ์์คํ
ํ์ผ ์ํธํ
6. ์์ ํ ๋ฐ ํด๋น ํ๋๊ทธ
๋ค์์ ์ํ์์ ์ฌ์ฉ๋๋ ๊ฐ์ฅ ๊ด๋ จ์ฑ์ด ๋์ ๊ฐ์ ธ์ค๊ธฐ ๋ฐ ํ๋๊ทธ๋ฅผ ๋์ดํ๋ ํ์ ๋๋ค.
7. IOC
์ฐธ์กฐ
- ์ฌ์ฉ์Publicrun.sct
- ์์ ๋ฉ๋ดํ๋ก๊ทธ๋จStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- ๋ฉ๋ดํ๋ก๊ทธ๋จStartupstart.bat
Ryuk ๋์ฌ์จ์ด์ ๋ํ ๊ธฐ์ ๋ณด๊ณ ์๋ ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ์ฐ๊ตฌ์์ธ PandaLabs์ ์ ๋ฌธ๊ฐ๋ค์ด ํธ์งํ์ต๋๋ค.
8. ๋งํฌ
1. โEveris y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.โhttps://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. "Un virus de origen ruso ataca a importantes empresas espaรฑolas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. โVB2019 ๋ ผ๋ฌธ: ์ฌ์ ์ ๋ณต์: Ryuk ์ ์ฑ ์ฝ๋์ ๊ธด ๊ผฌ๋ฆฌ.โ https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12๋ 2019์
4. โRyuk์ ์ด์ฉํ ๋์ ์ฌ๋ฅ: ๋ ๋ค๋ฅธ ์์ต์ฑ ์๋ ํ์ ๋์ฌ์จ์ด.โhttps://www. Crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, 10๋ 01์ 2019์ผ ๊ณต๊ฐ.
5. โVB2019 ๋
ผ๋ฌธ: ์ฌ์ ์ ๋ณต์: Ryuk ์
์ฑ์ฝ๋์ ๊ธด ๊ผฌ๋ฆฌ.โ https://www. virusbulletin.com/virusbulletin/2019/10/vb2019-paper-shinigamis-revenge-long-tail-r
์ถ์ฒ : habr.com