Ko Ryuk tetahi o nga whiringa ransomware rongonui i nga tau kua hipa. Mai i te wa tuatahi i puta mai i te raumati o 2018, kua kohia , ina koa i roto i te taiao pakihi, koinei te kaupapa matua o ana whakaeke.
1. nga korero whanui
Kei roto i tenei tuhinga he tātaritanga o te momo Ryuk ransomware, me te kaikawe kawenga mo te uta i te malware ki roto i te punaha.
I puta tuatahi te Ryuk ransomware i te raumati o 2018. Ko tetahi o nga rereketanga i waenga i a Ryuk me etahi atu ransomware e whai ana ki te whakaeke i nga taiao umanga.
I waenganui o te tau 2019, ka whakaekehia e nga roopu mahi ipurangi te tini o nga kamupene Paniora e whakamahi ana i tenei ransomware.
raihi. 1: He waahanga mai i a El Confidencial mo te whakaekenga ransomware Ryuk [1]
raihi. 2: He waahanga mai i El País mo te whakaekenga i mahia ma te whakamahi i te Ryuk ransomware [2]
I tenei tau, kua whakaekea e Ryuk te maha o nga kamupene i nga whenua rereke. Kei te kite koe i nga whika i raro iho nei, ko Tiamana, Haina, Algeria me Inia nga tino pa.
Ma te whakataurite i te maha o nga whakaeke ipurangi, ka kite tatou kua pa a Ryuk ki nga miriona o nga kaiwhakamahi me te whakararu i te nui o nga raraunga, na te mate ohaoha nui.
raihi. 3: Whakaahua o te mahi a Ryuk i te ao.
raihi. 4: 16 nga whenua e tino pa ana ki a Ryuk
raihi. 5: Te maha o nga kaiwhakamahi i whakaekea e Ryuk ransomware (i roto i te miriona)
E ai ki nga tikanga whakahaere o aua whakatumatuma, ko tenei ransomware, i muri i te otinga o te whakamunatanga, ka whakaatu ki te tangata i mate he panui utu e tika ana kia utua i roto i nga bitcoins ki te wahitau kua tohua hei whakahoki mai i te uru ki nga konae kua whakamunatia.
Kua rereke tenei malware mai i te wa tuatahi i whakauruhia ai.
Ko te rereketanga o tenei riri i tātarihia i roto i tenei tuhinga i kitea i te wa o te nganatanga whakaeke i te Hanuere 2020.
Na tona uaua, he maha nga wa e kiia ana tenei malware ki nga roopu mahi ipurangi, e mohiotia ana ko nga roopu APT.
Ko tetahi waahanga o te waehere Ryuk he tino rite ki te waehere me te hanganga o tetahi atu ransomware rongonui, a Hermes, he maha o raatau mahi. Koinei te take i hono tuatahi ai a Ryuk ki te roopu North Korean a Lazarus, i tera wa i whakapaehia kei muri o te Hermes ransomware.
Ko te ratonga Falcon X a CrowdStrike i muri mai i kii ko Ryuk i hangaia e te roopu WIZARD SPIDER [4].
He taunakitanga hei tautoko i tenei whakaaro. Tuatahi, i panuitia tenei ransomware i runga i te paetukutuku exploit.in, he kainga hokohoko kino a Ruhia e mohiotia ana, a kua hono atu ki etahi roopu APT Ruhia.
Ko tenei meka ka whakatau i te ariā ka taea e Ryuk te whakawhanake e te roopu APT Raharuhi, na te mea kare e tau ki te mahi a te roopu.
I tua atu, i panuitia a Ryuk hei ransomware e kore e mahi i runga i nga punaha Russian, Ukrainian me Belarusian. Ko tenei whanonga e whakatauhia ana e tetahi ahuatanga e kitea ana i etahi waahanga o Ryuk, i reira ka tirotirohia e ia te reo o te punaha e rere ana te ransomware me te aukati i te rere mena he reo Russian, Ukrainian, Belarusian ranei te punaha. I te mutunga, he tātaritanga tohunga mo te miihini i taumanutia e te roopu WIZARD SPIDER i whakaatu etahi "taonga" i kiia i whakamahia i roto i te whanaketanga o Ryuk hei momo rereke o te Hermes ransomware.
I tetahi atu taha, ko nga tohunga a Gabriela Nicolao me Luciano Martins i kii ko te ransomware pea i whakawhanakehia e te roopu APT CryptoTech [5].
Ka whai ake tenei mai i te mea he maha nga marama i mua i te putanga mai o Ryuk, i tukuna e tenei roopu nga korero i runga i te huihuinga o te waahi ano i whakawhanakehia e ratou he putanga hou o te Hermes ransomware.
He maha nga kaiwhakamahi huinga i patai mena na CryptoTech i hanga a Ryuk. Katahi te roopu ka wawao i a ia ano me te kii he tohu kei a raatau i whakawhanakehia te 100% o te ransomware.
2. Nga ahuatanga
Ka tiimata me te bootloader, ko tana mahi ko te tautuhi i te punaha kei runga kia taea ai te whakarewatanga "tika" o te Ryuk ransomware.
Ko te bootloader hash e whai ake nei:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Ko tetahi o nga ahuatanga o tenei kai-tango ko te kore he metadata, ara. Ko nga kaihanga o tenei malware kaore i whakauruhia he korero ki roto.
I etahi wa ka whakauruhia he raraunga pohehe hei tinihanga i te kaiwhakamahi ki te whakaaro kei te whakahaere ratou i tetahi tono tika. Engari, ka kite tatou i muri mai, ki te kore e uru te mate ki te taunekeneke a te kaiwhakamahi (penei te ahua o tenei ransomware), kaore nga kaiwhaiwhai e whakaaro he mea tika ki te whakamahi metadata.
raihi. 6: Tauira Raraunga Meta
I whakahiatohia te tauira ki te whakatakotoranga 32-bit kia taea ai te whakahaere i runga i nga punaha 32-bit me te 64-bit.
3. Vector kuhu
Ko te tauira e tango ana me te whakahaere i a Ryuk i uru mai ki ta maatau punaha ma te hononga mamao, a ko nga tawhā uru i whiwhi mai i te whakaekenga RDP tuatahi.
raihi. 7: Rehita Whakaeke
I taea e te kaiwhaiwhai te uru atu ki te punaha mamao. I muri i tera, ka hangaia e ia he konae ka taea te whakahaere me o maatau tauira.
I aukatihia tenei konae kawe e te otinga wheori i mua i te rere.
raihi. 8: Maukati tauira
raihi. 9: Maukati tauira
I te wa i aukatihia te konae kino, ka ngana te kaitukino ki te tango i tetahi putanga whakamunatia o te konae whakahaere, i aukatia ano.
raihi. 10: He huinga tauira i ngana te kaitawhai ki te whakahaere
Ka mutu, ka ngana ia ki te tango i tetahi atu konae kino ma te papatohu whakamunatia
PowerShell ki te karo i te pare wheori. Engari i aukatia ano ia.
raihi. 11: PowerShell kua aukatia nga ihirangi kino
raihi. 12: PowerShell kua aukatia nga ihirangi kino
4. Kaiuta
Ka mahia ana, ka tuhia he konae ReadMe ki te kōpaki % temp%, he tikanga mo Ryuk. He utu utu tenei konae kei roto he wahitau imeera kei roto i te rohe protonmail, he mea noa i tenei whanau kino: [email tiakina]
raihi. 13: Tono utu
I te wa e rere ana te bootloader, ka kite koe kei te whakarewahia e ia etahi konae kawe me nga ingoa matapōkere. Ka penapenahia ki tetahi kōpaki huna Panui, engari ki te kore e kaha te whiringa ki te punaha whakahaere "Whakaatuhia nga konae me nga kōpaki huna", katahi ka huna. I tua atu, ko enei konae he 64-bit, kaore i rite ki te konae matua, he 32-bit.
raihi. 14: Ko nga konae whakahaere i whakarewahia e te tauira
Ka taea e koe te kite i te ahua o runga ake nei, ka whakarewahia e Ryuk te icacls.exe, ka whakamahia hei whakarereke i nga ACL katoa (Nga rarangi mana uru), na reira ka uru me te whakarereketanga o nga haki.
Ka whai waahi katoa i raro i nga kaiwhakamahi katoa ki nga konae katoa i runga i te taputapu (/T) ahakoa nga hapa (/C) me te kore e whakaatu i nga karere (/Q).
raihi. 15: Nga tawhā mahi o icacls.exe i whakarewahia e te tauira
He mea nui kia tirohia e Ryuk ko tehea putanga o Windows kei te whakahaere koe. Mo tenei
ka mahia he taki putanga ma te whakamahi GetVersionExW, ka tirohia e ia te uara o te haki lpVersionInformatione tohu ana mena he hou ake te putanga o naianei o Windows Windows XP.
I runga i te mea kei te whakahaere koe i tetahi putanga i muri mai i a Windows XP, ka tuhi te kaitautauta whawhai ki te kōpaki kaiwhakamahi rohe - i tenei keehi ki te kōpaki %Tumatanui%.
raihi. 17: Te tirotiro i te putanga o te punaha whakahaere
Ko te kōnae e tuhia ana ko Ryuk. Katahi ka whakahaere, ka tuku i tana ake wahitau hei tawhā.
raihi. 18: Whakamatea a Ryuk ma ShellExecute
Ko te mea tuatahi ka mahia e Ryuk ko te whiwhi i nga tawhā whakauru. I tenei wa e rua nga tawhā whakauru (ko te kaikawe me te wahitau whakaheke) ka whakamahia hei tango i ona ake tohu.
raihi. 19: Te Hanga Tukatuka
Ka taea hoki e koe te kite i te wa kua whakahaerea e ia ona mana whakahaere, ka mukua e ia ano, na reira karekau he tohu o tona aroaro i roto i te kōpaki i mahia ai.
raihi. 20: Te whakakore i tetahi konae
5. RUKIKA
5.1 Te aroaro
Ko Ryuk, pera i etahi atu malware, ka ngana ki te noho tonu i runga i te punaha mo te wa roa. Ka rite ki te whakaaturanga i runga ake nei, ko tetahi huarahi ki te whakatutuki i tenei whaainga ko te hanga huna me te whakahaere i nga konae ka taea te whakahaere. Ki te mahi i tenei, ko te mahi noa ko te huri i te taviri rehita RaWhakaariWhanaWhiwhi.
I tenei keehi, ka kite koe mo tenei kaupapa ka whakarewahia te konae tuatahi VWjRF.exe
(Kei te hanga matapōkeretia te ingoa kōnae) ka whakarewahia cmd.exe.
raihi. 21: Te whakahaere i te VWjRF.exe
Na ka tomo i te whakahau RUN Me te ingoa"svchos". Na, ki te hiahia koe ki te tirotiro i nga taviri rehita i nga wa katoa, ka taea e koe te ngaro i tenei huringa, i te mea he rite te ahua o tenei ingoa ki te svchost. He mihi ki tenei matua, ka whakarite a Ryuk i tona aroaro i roto i te punaha. Mena kaore te punaha Heoi ano kua pangia, katahi ka whakaara ano koe i te punaha, ka ngana ano te kawe.
raihi. 22: Ma te tauira e whakarite te noho i roto i te matua rehita
Ka taea hoki e tatou te kite ka mutu tenei mahi e rua nga ratonga:
"kaiwhakatangi puoro", e rite ana ki tana ingoa, he rite ki te ororongo punaha,
raihi. 23: Ka mutu te tauira i te ratonga ororongo punaha
и Samss, he ratonga whakahaere kaute. Ko te aukati i enei ratonga e rua he ahuatanga o Ryuk. I tenei keehi, ki te hono te punaha ki tetahi punaha SIEM, ka ngana te ransomware ki te whakamutu i te tuku ki tetahi whakatupato. Ma tenei ara, ka tiakina e ia ana mahi e whai ake nei i te mea kaore e taea e etahi ratonga SAM te tiimata tika i a raatau mahi i muri i te mahi a Ryuk.
raihi. 24: Tauira ka mutu te ratonga Samss
5.2 Nga Tikanga
I te nuinga o te korero, ka timata a Ryuk ma te neke whakamuri i roto i te whatunga, ka whakarewahia ranei e tetahi atu malware penei ranei , i te mea ka piki ake te mana, ka whakawhitia enei mana teitei ki te ransomware.
I mua ake nei, hei timatanga mo te mahi whakatinana, ka kite tatou i a ia e whakahaere ana i nga mahi Whakawhaiaro, ko te tikanga ka tukuna nga ihirangi haumarutanga o te tohu uru ki te awa, ka tikina tonutia ma te whakamahi Tikina Miro o Naianei.
raihi. 25: Call ImpersonateSelf
Ka kite tatou ka honoa he tohu uru ki tetahi miro. Ka kite hoki tatou ko tetahi o nga haki ko HiahiaAccess, ka taea te whakamahi hei whakahaere i te urunga ka riro i te miro. I tenei keehi ko te uara ka riro i a edx ko TOKEN_ALL_ACESS ke atu ranei - TOKEN_WITE.
raihi. 26: Te Waihanga Tohu Rere
Na ka whakamahia e ia SeDebugPrivilege a ka waea atu ki te tiki whakaaetanga Debug i runga i te miro, ka puta mai PROCESS_ALL_ACCESS, ka taea e ia te uru atu ki nga tukanga e hiahiatia ana. Inaianei, i te mea kua rite kee te roma o te kaiwhakamuna, ko nga mea e toe ana ko te haere ki te waahanga whakamutunga.
raihi. 27: Karangatia a SeDebugPrivilege me te Mahinga Whakanuia
I tetahi taha, kei a matou te LookupPrivilegeValueW, e whakarato ana i nga korero e tika ana mo nga painga e hiahia ana matou ki te whakanui ake.
raihi. 28: Tonoa nga korero e pa ana ki nga painga mo te whakanui ake i nga painga
I tetahi atu taha, kei a matou WhakatikatikaTokenPrivileges, e taea ai e tatou te whiwhi i nga mana e tika ana mo to tatou awa. I tenei take, ko te mea tino nui NewState, ka whakawhiwhia e tana haki nga mana.
raihi. 29: Te whakarite whakaaetanga mo te tohu
5.3 Whakatinana
I roto i tenei waahanga, ka whakaatuhia e matou te mahi a te tauira i te tukanga whakatinanatanga i whakahuahia i mua i tenei ripoata.
Ko te whainga matua o te tukanga whakatinana, me te piki haere, ko te whai waahi ki nga kape atarangi. Ki te mahi i tenei, me mahi ia me tetahi miro me nga mana teitei ake i nga tangata o te rohe. Ina riro i a ia nga mana teitei, ka mukua e ia nga kape me te whakarereke i etahi atu tukanga kia kore ai e taea te hoki ki te waahi whakaora o mua i roto i te punaha whakahaere.
Ka rite ki te ahua o tenei momo malware, ka whakamahia e ia WaihangaToolHelp32Snapshotno reira he whakaahuatanga o nga tukanga e whakahaere ana i tenei wa ka ngana ki te uru atu ki aua tukanga ma te whakamahi TuwheraTuhinga. Ina uru ana ki te tukanga, ka whakatuwherahia ano he tohu me ona korero kia whiwhi i nga tawhā tukanga.
raihi. 30: Te tiki tukanga mai i te rorohiko
Ka taea e tatou te kite me pehea e whiwhi ai i te rarangi o nga tukanga whakahaere i roto i nga mahinga 140002D9C ma te whakamahi CreateToolhelp32Snapshot. Whai muri i tana whiwhinga, ka haere ia ki roto i te raarangi, ka ngana ki te whakatuwhera i nga mahi takitahi ma te whakamahi i te OpenProcess kia angitu ra ano ia. I tenei keehi, ko te mahi tuatahi i taea e ia te whakatuwhera "taskhost.exe".
raihi. 31: Mahi Hihiko he Tikanga ki te Tikina he Tukanga
Ka kite tatou ka panuihia e ia nga korero tohu tohu, na reira ka karanga OpenProcessToken me te tawhā "20008"
raihi. 32: Pānuihia nga korero tohu tukanga
Ka tirohia ano ko te tukanga ka werohia ki roto ehara csrss.exe, explorer.exe, lsaas.exe he huinga mana ranei tana NT mana.
raihi. 33: Nga tukanga kua whakakorehia
Ka taea e tatou te kite me pehea te mahi tuatahi i te haki ma te whakamahi i nga korero tohu tohu i roto 140002D9C kia mohio ai he kaute te kaute e whakamahia ana ki te whakahaere i tetahi tukanga NT MANA.
raihi. 34: NT AUTHORITY taki
I muri mai, i waho o te tikanga, ka tirohia e ia kaore tenei csrss.exe, explorer.exe ranei lsaas.exe.
raihi. 35: NT AUTHORITY taki
Ina kapohia e ia nga mahinga, ka whakatuwherahia nga tukanga, ka whakaahuruhia kaore tetahi o enei i whakakorehia, kua rite ia ki te tuhi ki te mahara ki nga tukanga ka werohia.
Hei mahi i tenei, tuatahi ka rahuitia he waahi hei maharatanga (VirtualAllocEx), ka tuhi ki roto (TuhiaTuhingaMahara) ka hanga he miro (WaihangaRemoteMiro). Hei mahi me enei mahi, ka whakamahia e ia nga PID o nga mahinga kua tohua, i whiwhihia e ia i mua WaihangaToolhelp32Snapshot.
raihi. 36: Waehere whakauru
I konei ka taea e tatou te kite me pehea te whakamahi i te tukanga PID ki te karanga i te mahi VirtualAllocEx.
raihi. 37: Karangatia a VirtualAllocEx
5.4 Whakamunatanga
I tenei wahanga, ka titiro tatou ki te wahanga whakamunatanga o tenei tauira. I roto i te pikitia e whai ake nei ka kite koe i nga waahanga e rua e kiia nei ko "LoadLibrary_EncodeString"A"Whakawaehere_Taumahi", kei a raatau te kawenga mo te whakahaere i te tikanga whakamunatanga.
raihi. 38: Nga tikanga whakamunatanga
I te timatanga ka kite tatou me pehea te utaina i te aho ka whakamahia i muri mai hei whakakore i nga mea katoa e hiahiatia ana: kawemai, DLL, whakahau, konae me nga CSP.
raihi. 39: Taiawhio Whakakore
Ko te ahua e whai ake nei e whakaatu ana i te kawemai tuatahi ka whakakorehia i roto i te rehita R4. Paetukutuku Utaina. Ka whakamahia tenei hei muri mai hei uta i nga DLL e hiahiatia ana. Ka taea ano e tatou te kite i tetahi atu raina i roto i te rehita R12, e whakamahia ana me te raina o mua ki te mahi whakakore.
raihi. 40: Whakakorenga hihiko
Kei te haere tonu ki te tango i nga whakahau ka whakahaerehia i muri mai hei whakakore i nga taapiri, nga tohu whakaora, me nga momo whawhai haumaru.
raihi. 41: Uta whakahau
Na ka utaina te waahi ka tukuna e ia nga konae 3: Windows.bat, run.sct и timatanga.bat.
raihi. 42: Tauwāhi Kōnae
Ka whakamahia enei konae 3 ki te tirotiro i nga mana kei ia waahi. Mena kaore i te waatea nga mana e hiahiatia ana, ka mutu te mahi a Ryuk.
Ka utaina tonu nga raina e rite ana ki nga konae e toru. Tuatahi, DECRYPT_INFORMATION.html, kei roto nga korero e tika ana hei whakaora i nga konae. Tuarua, Panui, kei roto te kī tūmatanui RSA.
raihi. 43: Raina DECRYPT INFORMATION.html
Tuatoru, UNIQUE_ID_KORE_TANGO, kei roto te kī whakamuna ka whakamahia i roto i te mahinga e whai ake nei hei mahi i te whakamunatanga.
raihi. 44: Raina ID UNIQUE KAUA E TANGO
Ka mutu, ka tangohia e ia nga whare pukapuka e hiahiatia ana me nga kawemai me nga CSP e hiahiatia ana (Microsoft Enhanced RSA и Kaiwhakarato AES Cryptographic).
raihi. 45: Uta ana i nga whare pukapuka
Ka oti te whakakorenga katoa, ka haere tonu ki te mahi i nga mahi e hiahiatia ana mo te whakamunatanga: te whakariterite i nga puku arorau katoa, te mahi i nga mea i utaina i roto i nga mahi o mua, te whakapakari i te noho ki roto i te punaha, te maka i te konae RyukReadMe.html, te whakamunatanga, te whakariterite i nga puku whatunga katoa , whakawhiti ki nga taputapu kua kitea me o raatau whakamunatanga.
Ka timata katoa ma te uta"cmd.exe" me nga rekoata matua a RSA.
raihi. 46: Te whakarite mo te whakamunatanga
Na ka whiwhi i nga puku arorau katoa ma te whakamahi GetLogicalDrives ka whakakore i nga taapiri katoa, te whakaora i nga tohu me nga momo whawhai haumaru.
raihi. 47: Te whakakore i nga taputapu whakaora
I muri i tera, ka whakapakarihia tona aroaro i roto i te punaha, pera i ta maatau i kite i runga ake nei, ka tuhia te konae tuatahi RyukReadMe.html в Tita.
raihi. 48: Te whakaputa panui utu
I te pikitia e whai ake nei ka kite koe me pehea te hanga i tetahi konae, te tango i nga ihirangi me te tuhi:
raihi. 49: Te uta me te tuhi i nga ihirangi o nga konae
Ki te kaha ki te mahi i nga mahi ano i runga i nga taputapu katoa, ka whakamahia e ia
"icacls.exe", pera i whakaaturia e matou i runga ake nei.
raihi. 50: Te whakamahi icalcls.exe
Ka mutu, ka timata te whakamuna i nga konae engari mo nga konae "*.exe", "*.dll", nga konae punaha me etahi atu waahi kua tohua ki te ahua o te rarangi ma kua whakamunatia. Hei mahi i tenei, ka whakamahia e ia nga kawemai: CryptoAcquireContextW (kei reira te whakamahinga o te AES me te RSA kua tohua), CryptDeriveKey, CryptGenKey, CryptoDestroyKey etc. Ka ngana ano ki te toro atu ki nga taputapu whatunga kua kitea ma te whakamahi i te WNetEnumResourceW ka whakamuna.
raihi. 51: Whakamuna i nga konae punaha
6. Kawemai me nga haki rite
Kei raro nei he ripanga e whakarārangi ana i ngā kawemai me ngā haki tino whai take e whakamahia ana e te tauira:
7. IOC
tohutoro
- usersPublicrun.sct
- Tīmata TahuaProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
He purongo hangarau mo te Ryuk ransomware i whakaemihia e nga tohunga mai i te taiwhanga wheori PandaLabs.
8. Hononga
1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Whakaputanga i te 04/11/2019.
2. “Ko te huaketo te takenga mai o te take me te nui o te kamupene españolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. "Pepa VB2019: Te utu a Shinigami: te hiku roa o te Ryuk malware." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Hiki Keemu Nui me Ryuk: Ko tetahi atu LucrativebTargeted Ransomware."https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Whakaputanga i te 10/01/2019.
5. "Pepa VB2019: Ko te utu a Shinigami: te hiku roa o te Ryuk malware." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Source: will.com