Ryuk бол сүүлийн хэдэн жилийн хамгийн алдартай ransomware сонголтуудын нэг юм. 2018 оны зун анх гарч ирснээс хойш цуглуулсан , ялангуяа бизнесийн орчинд халдлага хийх гол бай болсон.
1. Ерөнхий мэдээлэл
Энэхүү баримт бичигт Ryuk ransomware хувилбарын дүн шинжилгээ, түүнчлэн хортой програмыг системд ачаалах үүрэгтэй дуудагчийг багтаасан болно.
Ryuk ransomware анх 2018 оны зун гарч ирсэн. Ryuk-ийн бусад ransomware-аас ялгарах нэг зүйл бол энэ нь байгууллагын орчинд халдах зорилготой юм.
2019 оны дундуур кибер гэмт хэргийн бүлгүүд энэхүү ransomware ашиглан Испанийн асар олон компани руу дайрчээ.
Цагаан будаа. 1: Ryuk ransomware халдлагын талаар El Confidencial-аас ишлэл [1]
Цагаан будаа. 2: Ryuk ransomware ашиглан хийсэн халдлагын тухай El País-аас ишлэл [2]
Энэ жил Рюк янз бүрийн улс орны олон тооны компани руу дайрчээ. Герман, Хятад, Алжир, Энэтхэг зэрэг улсууд хамгийн их хохирол амссаныг доорх тооноос харж болно.
Кибер халдлагын тоог харьцуулж үзвэл, Рюк олон сая хэрэглэгчдэд нөлөөлж, асар их хэмжээний өгөгдлийг эвдэж, улмаар эдийн засагт ихээхэн хохирол учруулсан болохыг харж болно.
Цагаан будаа. 3: Рюкийн дэлхийн үйл ажиллагааны зураглал.
Цагаан будаа. 4: Рюкт хамгийн их өртсөн 16 улс
Цагаан будаа. 5: Ryuk ransomware-д халдсан хэрэглэгчдийн тоо (саяаар)
Ийм аюул заналхийллийн ердийн үйл ажиллагааны зарчмын дагуу энэхүү ransomware нь шифрлэлт дууссаны дараа хохирогчдод шифрлэгдсэн файл руу нэвтрэх эрхийг сэргээхийн тулд заасан хаяг руу биткойноор төлөх ёстой золигийн мэдэгдлийг харуулдаг.
Энэхүү хортой программыг анх нэвтрүүлсэн цагаасаа хойш өөрчилсөн.
Энэхүү баримт бичигт дүн шинжилгээ хийсэн энэхүү аюулын хувилбарыг 2020 оны XNUMX-р сард халдлага хийх оролдлогын үеэр илрүүлсэн.
Нарийн төвөгтэй байдлаасаа болоод энэхүү хортой программ нь ихэвчлэн зохион байгуулалттай кибер гэмт хэргийн бүлгүүд, мөн APT бүлгүүд гэгддэг.
Ryuk кодын нэг хэсэг нь өөр нэг алдартай ransomware болох Hermes-ийн код, бүтэцтэй мэдэгдэхүйц төстэй бөгөөд тэдгээр нь хэд хэдэн ижил төстэй функцүүдийг хуваалцдаг. Тийм ч учраас Рюк анхлан Хойд Солонгосын Лазарус бүлэглэлтэй холбоотой байсан бөгөөд тухайн үед Hermes ransomware-ийн ард байсан гэж сэжиглэгдэж байсан юм.
Дараа нь CrowdStrike-ийн Falcon X үйлчилгээ Рюкийг WIZARD SPIDER бүлэг [4] бүтээсэн болохыг тэмдэглэжээ.
Энэ таамаглалыг батлах зарим нотолгоо бий. Нэгдүгээрт, энэхүү ransomware-ийг exploit.in вэб сайтад сурталчилсан бөгөөд энэ нь Оросын алдартай хортой програм хангамжийн зах зээл бөгөөд өмнө нь Оросын зарим APT бүлгүүдтэй холбоотой байсан.
Энэ баримт нь Рюкийг Лазарус APT групп боловсруулсан байж магадгүй гэсэн онолыг үгүйсгэдэг, учир нь Энэ нь бүлгийн үйл ажиллагаатай нийцэхгүй байна.
Нэмж дурдахад Рюкийг Орос, Украин, Беларусийн системд ажиллахгүй ransomware гэж сурталчилсан. Энэ зан үйлийг Ryuk-ийн зарим хувилбарт байдаг функцээр тодорхойлдог бөгөөд энэ нь ransomware ажиллаж байгаа системийн хэлийг шалгаж, хэрэв систем нь Орос, Украин эсвэл Беларусь хэлтэй бол ажиллахыг зогсоодог. Эцэст нь WIZARD SPIDER багийн хакердсан машинд хийсэн шинжээчдийн дүн шинжилгээ нь Ryuk-ийг Hermes ransomware-ийн хувилбар болгон хөгжүүлэхэд ашигласан гэх хэд хэдэн "олдвор"-ыг илрүүлжээ.
Нөгөөтэйгүүр, шинжээч Габриэла Николао, Лучано Мартинс нар ransomware-г APT групп CryptoTech [5] боловсруулсан байж магадгүй гэж таамаглаж байна.
Энэ нь Рюк гарч ирэхээс хэдэн сарын өмнө энэ бүлэглэл Hermes ransomware-ийн шинэ хувилбарыг боловсруулсан гэсэн мэдээллийг тухайн сайтын форум дээр нийтэлсэнтэй холбоотой юм.
Хэд хэдэн форум хэрэглэгчид CryptoTech үнэхээр Ryuk-ийг бүтээсэн эсэх талаар асууж байсан. Дараа нь тус бүлэглэл өөрсдийгөө хамгаалж, ransomware-г 100% боловсруулсан гэдгээ нотлох баримттай гэдгээ мэдэгдэв.
2. Онцлог шинж чанар
Бид ачаалагчаас эхэлдэг бөгөөд түүний үүрэг нь Ryuk ransomware-ийн "зөв" хувилбарыг ажиллуулахын тулд ажиллаж байгаа системийг тодорхойлох явдал юм.
Ачаалагчийн хэш нь дараах байдалтай байна.
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Энэ татагчийн нэг онцлог нь ямар ч мета өгөгдөл агуулаагүй, i.e. Энэхүү хортой програмыг бүтээгчид үүнд ямар ч мэдээлэл оруулаагүй байна.
Заримдаа тэд хууль ёсны програм ажиллуулж байна гэж хэрэглэгчийг хууран мэхлэхийн тулд алдаатай өгөгдөл оруулдаг. Гэсэн хэдий ч, бид дараа нь үзэх болно, хэрэв халдвар нь хэрэглэгчийн харилцан үйлчлэлд ороогүй бол (энэ ransomware-тэй адил) халдагчид мета өгөгдлийг ашиглах шаардлагагүй гэж үздэг.
Цагаан будаа. 6: Жишээ мета өгөгдөл
Дээжийг 32 битийн форматаар эмхэтгэсэн бөгөөд энэ нь 32 бит ба 64 битийн систем дээр ажиллах боломжтой.
3. Нэвтрэх вектор
Ryuk-ийг татаж авч ажиллуулдаг дээж нь алсын холболтоор манай системд нэвтэрсэн бөгөөд урьдчилсан RDP халдлагаар дамжуулан хандалтын параметрүүдийг олж авсан.
Цагаан будаа. 7: Довтолгооны бүртгэл
Халдагчид систем рүү алсаас нэвтэрч чадсан. Үүний дараа тэр бидний дээжээр гүйцэтгэх боломжтой файл үүсгэсэн.
Энэ гүйцэтгэгдэх файлыг ажиллуулахын өмнө вирусны эсрэг шийдлээр хаасан.
Цагаан будаа. 8: Загварын түгжээ
Цагаан будаа. 9: Загварын түгжээ
Хортой файлыг хаах үед халдагч гүйцэтгэгдэх файлын шифрлэгдсэн хувилбарыг татаж авахыг оролдсон бөгөөд энэ нь мөн хаагдсан байна.
Цагаан будаа. 10: Халдагчийн ажиллуулахыг оролдсон дээжийн багц
Эцэст нь тэрээр шифрлэгдсэн консолоор дамжуулан өөр нэг хортой файлыг татаж авахыг оролдсон
Вирусны эсрэг хамгаалалтыг тойрч гарахын тулд PowerShell. Гэхдээ түүнийг бас хаасан.
Цагаан будаа. 11: Хортой контент бүхий PowerShell-ийг блоклосон
Цагаан будаа. 12: Хортой контент бүхий PowerShell-ийг блоклосон
4. Ачаалагч
Гүйцэтгэх үед энэ нь ReadMe файлыг хавтас руу бичдэг % цаг%, энэ нь Рюкийн хувьд ердийн зүйл юм. Энэ файл нь protonmail домэйн дэх и-мэйл хаягийг агуулсан золиослол бөгөөд энэ вирусын гэр бүлд нэлээд түгээмэл байдаг: [имэйлээр хамгаалагдсан]
Цагаан будаа. 13: Золиосны эрэлт
Ачаалагч ажиллаж байх үед санамсаргүй нэртэй хэд хэдэн гүйцэтгэх боломжтой файлуудыг ажиллуулж байгааг харж болно. Тэд далд хавтсанд хадгалагддаг НИЙГМИЙН, гэхдээ үйлдлийн системд сонголт идэвхгүй бол "Нуугдсан файл, хавтсыг харуулах", дараа нь тэд нуугдмал хэвээр байх болно. Түүнээс гадна эдгээр файлууд нь 64 битийн эх файлаас ялгаатай нь 32 бит юм.
Цагаан будаа. 14: Түүврээр эхлүүлсэн гүйцэтгэх боломжтой файлууд
Дээрх зурган дээрээс харахад Ryuk icacls.exe-г эхлүүлсэн бөгөөд энэ нь бүх ACL (Хандалтын хяналтын жагсаалт) -ийг өөрчлөхөд ашиглагдах бөгөөд ингэснээр тугуудад хандах, өөрчлөх боломжийг олгоно.
Энэ нь алдаанаас (/C) үл хамааран, ямар ч мессеж (/Q) харуулахгүйгээр төхөөрөмж дээрх бүх файлд (/T) бүх хэрэглэгчдэд бүрэн хандах эрхтэй болно.
Цагаан будаа. 15: Түүврээр эхлүүлсэн icacls.exe-ийн гүйцэтгэлийн параметрүүд
Ryuk таны Windows-ийн аль хувилбарыг ажиллуулж байгааг шалгадаг гэдгийг анхаарах нь чухал юм. Үүний тулд тэр
ашиглан хувилбарын шалгалтыг гүйцэтгэдэг GetVersionExW, энэ нь тугны утгыг шалгадаг lpVersionМэдээлэлWindows-ын одоогийн хувилбар нь түүнээс шинэ эсэхийг харуулж байна Windows XP.
Та Windows XP-ээс хойшхи хувилбарыг ажиллуулж байгаа эсэхээс хамаарч ачаалагч нь дотоод хэрэглэгчийн хавтас руу бичих болно - энэ тохиолдолд хавтас руу. %Нийтийн%.
Цагаан будаа. 17: Үйлдлийн системийн хувилбарыг шалгаж байна
Бичиж байгаа файл нь Рюк. Дараа нь үүнийг ажиллуулж, өөрийн хаягийг параметр болгон дамжуулдаг.
Цагаан будаа. 18: Ryuk-ийг ShellExecute-ээр гүйцэтгэнэ
Рюкийн хийх хамгийн эхний зүйл бол оролтын параметрүүдийг хүлээн авах явдал юм. Энэ удаад өөрийн ул мөрийг арилгахад ашигладаг хоёр оролтын параметр (гүйцэтгэгч өөрөө болон дусаагуур хаяг) байна.
Цагаан будаа. 19: Процесс үүсгэх
Гүйцэтгэх файлуудаа ажиллуулсны дараа өөрийгөө устгаж, гүйцэтгэсэн хавтсандаа өөрийн байгаа эсэх талаар ямар ч ул мөр үлдээхгүй болохыг та бас харж болно.
Цагаан будаа. 20: Файл устгаж байна
5. РЮК
5.1 Байгаа байдал
Ryuk бусад хортой програмуудын нэгэн адил системд аль болох удаан үлдэхийг хичээдэг. Дээр дурдсанчлан энэ зорилгод хүрэх нэг арга бол нууцаар гүйцэтгэх боломжтой файлуудыг үүсгэж ажиллуулах явдал юм. Үүнийг хийхийн тулд бүртгэлийн түлхүүрийг өөрчлөх нь хамгийн түгээмэл арга юм CurrentVersionRun.
Энэ тохиолдолд та энэ зорилгоор анхны файлыг ажиллуулж байгааг харж болно VWjRF.exe
(файлын нэрийг санамсаргүй байдлаар үүсгэсэн) эхлүүлнэ cmd.exe дээр байрлуулна.
Цагаан будаа. 21: VWjRF.exe-г ажиллуулж байна
Дараа нь командыг оруулна уу ЗАГВАР Нэртэй"svchos". Тиймээс, хэрэв та хүссэн үедээ бүртгэлийн түлхүүрүүдийг шалгахыг хүсвэл энэ нэр нь svchost-тэй ижил төстэй тул энэ өөрчлөлтийг амархан алдаж болно. Энэ түлхүүрийн ачаар Ryuk системд байгаа эсэхийг баталгаажуулдаг. Хэрэв систем байхгүй бол халдвар авсан хэвээр байгаа бол системийг дахин ачаалахад гүйцэтгэгдэх файл дахин оролдох болно.
Цагаан будаа. 22: Дээж нь бүртгэлийн түлхүүрт байгаа эсэхийг баталгаажуулдаг
Энэ гүйцэтгэгч нь хоёр үйлчилгээг зогсоож байгааг бид харж болно:
"audioendpointbuilder", нэрнээс нь харахад системийн аудиотой тохирч байна.
Цагаан будаа. 23: Дээж нь системийн аудио үйлчилгээг зогсооно
и Самсс, энэ нь дансны удирдлагын үйлчилгээ юм. Энэ хоёр үйлчилгээг зогсоох нь Рюкийн шинж чанар юм. Энэ тохиолдолд, хэрэв систем нь SIEM системд холбогдсон бол ransomware нь илгээхээ зогсоохыг оролддог. аливаа анхааруулга. Ийм байдлаар тэрээр дараагийн алхмуудаа хамгаалж байгаа тул зарим SAM үйлчилгээ Рюкийг гүйцэтгэсний дараа ажлаа зөв эхлүүлэх боломжгүй болно.
Цагаан будаа. 24: Дээж Samss үйлчилгээг зогсооно
5.2 Давуу эрх
Ерөнхийдөө Ryuk нь сүлжээн доторх хажуу тийш хөдөлж эхэлдэг эсвэл өөр хортой програмаар эхлүүлдэг. буюу , давуу эрх нэмэгдсэн тохиолдолд эдгээр өргөгдсөн эрхийг ransomware руу шилжүүлнэ.
Урьдчилан хэрэгжүүлэх үйл явцын оршил болгон бид түүнийг үйл явцыг явуулж байгааг харж байна Өөрийгөө дүр эсгэх, энэ нь хандалтын жетоны аюулгүй байдлын контентыг урсгал руу дамжуулж, түүнийг ашиглан шууд татаж авна гэсэн үг юм. GetCurrentThread.
Цагаан будаа. 25: Өөрийгөө Impersonate гэж дууд
Дараа нь энэ нь хандалтын токеныг урсгалтай холбох болно гэдгийг бид харж байна. Мөн тугуудын нэг нь байгааг бид харж байна Хүссэн хандалт, энэ нь thread-д хандах хандалтыг хянахад ашиглаж болно. Энэ тохиолдолд edx-ийн хүлээн авах утга нь байх ёстой БҮХ_ХЭРЭГСЛИЙГ ТОКEN эсвэл өөрөөр - TOKEN_БИЧИХ.
Цагаан будаа. 26: Урсгалын тэмдэг үүсгэх
Дараа нь тэр ашиглах болно SeDebugPrivilege мөн хэлхээн дээр Дибаг хийх зөвшөөрлийг авахын тулд дуудлага хийх бөгөөд үр дүнд нь БҮГД_ХАНДАХЫГ БОЛОВСРУУЛАХ, тэрээр шаардлагатай аливаа процесст хандах боломжтой болно. Одоо шифрлэгч нь аль хэдийн бэлтгэсэн урсгалтай байгаа тул эцсийн шат руу шилжих л үлдлээ.
Цагаан будаа. 27: SeDebugPrivilege болон давуу эрх нэмэгдүүлэх функцийг дуудаж байна
Нэг талаас, бид LookupPrivilegeValueW-тэй бөгөөд энэ нь бидний нэмэгдүүлэхийг хүсч буй эрхүүдийн талаар шаардлагатай мэдээллээр хангадаг.
Цагаан будаа. 28: Эрх олголтыг нэмэгдүүлэхийн тулд эрх ямбаны талаар мэдээлэл хүсэх
Нөгөө талаар бидэнд байгаа TokenPrivileges тохируулах, энэ нь бидэнд урсгалдаа шаардлагатай эрхийг олж авах боломжийг олгодог. Энэ тохиолдолд хамгийн чухал зүйл бол Шинэ муж, хэний далбаа нь давуу эрх олгох болно.
Цагаан будаа. 29: Токены зөвшөөрлийг тохируулах
5.3 Хэрэгжилт
Энэ хэсэгт бид дээж нь энэ тайланд өмнө дурдсан хэрэгжүүлэх үйл явцыг хэрхэн гүйцэтгэж байгааг харуулах болно.
Хэрэгжүүлэх үйл явц, түүнчлэн эрчимжүүлэх гол зорилго нь хүртээмжтэй болох явдал юм сүүдрийн хуулбарууд. Үүнийг хийхийн тулд тэрээр орон нутгийн хэрэглэгчийн эрхээс өндөр эрхтэй утастай ажиллах хэрэгтэй. Ийм өндөр эрх олж авсны дараа үйлдлийн систем дэх өмнөх сэргээх цэг рүү буцах боломжгүй болгохын тулд хуулбарыг устгаж, бусад процессуудад өөрчлөлт оруулна.
Энэ төрлийн хортой програмын хувьд ердийнх шигээ үүнийг ашигладаг CreateToolHelp32SnapshotТиймээс энэ нь одоо ажиллаж байгаа процессуудын агшин зуурын зургийг авч, тэдгээр процессуудыг ашиглан хандахыг оролддог Нээлттэй процесс. Процесс руу нэвтрэх эрх авсны дараа процессын параметрүүдийг олж авахын тулд өөрийн мэдээлэл бүхий жетоныг нээдэг.
Цагаан будаа. 30: Компьютерээс процессуудыг татаж авах
CreateToolhelp140002Snapshot ашиглан ердийн 9D32C дээр ажиллаж байгаа процессуудын жагсаалтыг хэрхэн олж авч байгааг бид динамик байдлаар харж болно. Тэднийг хүлээн авсны дараа тэрээр жагсаалтад орж, амжилтанд хүрэх хүртлээ OpenProcess ашиглан процессуудыг нэг нэгээр нь нээхийг оролддог. Энэ тохиолдолд түүний нээж чадсан анхны үйл явц байсан "taskhost.exe".
Цагаан будаа. 31: Процесс авах процедурыг динамикаар гүйцэтгэх
Энэ нь дараа нь процессын жетон мэдээллийг уншдаг тул дуудаж байгааг бид харж болно OpenProcessToken параметртэй"20008"
Цагаан будаа. 32: Процессын жетон мэдээллийг уншина уу
Энэ нь мөн тарилга хийх процесс нь тийм биш эсэхийг шалгадаг csrss.exe дээр очно уу, explorer.exe, lsaas.exe эсвэл түүнд тодорхой эрх байдаг NT эрх мэдэл.
Цагаан будаа. 33: Оруулсан процессууд
Процессын жетон мэдээллийг ашиглан энэ нь эхлээд шалгалтыг хэрхэн хийж байгааг бид динамик байдлаар харж болно 140002D9C үйл явцыг гүйцэтгэхэд эрх нь ашиглагдаж байгаа данс нь данс мөн эсэхийг мэдэхийн тулд NT-ийн эрх мэдэл.
Цагаан будаа. 34: NT AUTHORITY шалгах
Тэгээд дараа нь процедурын гадна тэр энэ нь тийм биш гэдгийг шалгадаг csrss.exe, explorer.exe буюу lsaas.exe.
Цагаан будаа. 35: NT AUTHORITY шалгах
Тэрээр үйл явцын агшин зуурын зургийг авч, процессуудыг нээж, тэдгээрийн аль нь ч хасагдаагүй эсэхийг шалгасны дараа тэрээр тарих процессуудыг санах ойд бичихэд бэлэн байна.
Үүнийг хийхийн тулд эхлээд санах ойн талбайг нөөцөлнө (VirtualAllocEx), дотор нь бичдэг (WriteProcessmemory) ба хэлхээ үүсгэдэг (RemoteThread үүсгэх). Эдгээр функцуудтай ажиллахын тулд өмнө нь олж авсан сонгосон процессуудын PID-г ашигладаг CreateToolhelp32Snapshot.
Цагаан будаа. 36: Код оруулах
Энд бид функцийг дуудахдаа PID процессыг хэрхэн ашиглаж байгааг динамикаар ажиглаж болно VirtualAllocEx.
Цагаан будаа. 37: VirtualAllocEx руу залгаарай
5.4 Шифрлэлт
Энэ хэсэгт бид энэ дээжийн шифрлэлтийн хэсгийг авч үзэх болно. Дараах зурган дээр та " гэж нэрлэгддэг хоёр дэд програмыг харж болно.LoadLibrary_EncodeString"Ба"Encode_Func", шифрлэлтийн процедурыг гүйцэтгэх үүрэгтэй.
Цагаан будаа. 38: Шифрлэлтийн процедур
Эхэндээ бид энэ нь дараа нь шаардлагатай бүх зүйл болох импорт, DLL, тушаал, файл болон CSP-ийг арилгахад ашиглагдах мөрийг хэрхэн ачаалж байгааг харж болно.
Цагаан будаа. 39: Бүдүүрийг арилгах хэлхээ
Дараах зурагт R4 регистр дэх нууцлалыг арилгасан анхны импортыг харуулав. Ашиглах номын сан. Үүнийг дараа нь шаардлагатай DLL-г ачаалахад ашиглах болно. Бид мөн R12 регистрийн өөр мөрийг харж болно, энэ нь өмнөх мөртэй хамт бүдгэрүүлэх ажлыг гүйцэтгэхэд ашиглагддаг.
Цагаан будаа. 40: Динамик deobfuscation
Энэ нь нөөцлөлт, сэргээх цэг болон аюулгүй ачаалах горимыг идэвхгүй болгохын тулд дараа нь ажиллах командуудыг татаж авсаар байна.
Цагаан будаа. 41: Командуудыг ачаалж байна
Дараа нь 3 файлыг буулгах байршлыг ачаална: Windows.bat, run.sct и эхлэх.bat.
Цагаан будаа. 42: Файлын байршил
Эдгээр 3 файлыг байршил бүрт байгаа эрхийг шалгахад ашигладаг. Хэрэв шаардлагатай давуу эрх байхгүй бол Рюк гүйцэтгэлийг зогсооно.
Энэ нь гурван файлд тохирох мөрүүдийг ачаалсаар байна. Эхлээд, DECRYPT_INFORMATION.html, файлуудыг сэргээхэд шаардлагатай мэдээллийг агуулна. Хоёрдугаарт, НИЙГМИЙН, RSA нийтийн түлхүүрийг агуулна.
Цагаан будаа. 43: Мөр DECRYPT INFORMATION.html
Гуравдугаарт, Өвөрмөц_ID_АРИЛГАХГҮЙ, шифрлэлтийг гүйцэтгэх дараагийн горимд хэрэглэгдэх шифрлэгдсэн түлхүүрийг агуулна.
Цагаан будаа. 44: Мөр Өвөрмөц ID-г АРИЛГАХГҮЙ
Эцэст нь шаардлагатай импорт болон CSP-ийн хамт шаардлагатай номын сангуудыг татаж авдаг.Microsoft-ын сайжруулсан RSA и AES криптографийн үйлчилгээ үзүүлэгч).
Цагаан будаа. 45: Номын сангуудыг ачаалж байна
Бүх нууцлалыг арилгах ажил дууссаны дараа шифрлэхэд шаардлагатай үйлдлүүдийг хийж эхэлнэ: бүх логик хөтчүүдийг тоолох, өмнөх горимд ачаалагдсан зүйлийг гүйцэтгэх, систем дэх оролцоог бэхжүүлэх, RyukReadMe.html файлыг шидэх, шифрлэх, бүх сүлжээний хөтчүүдийг тоолох. , илрүүлсэн төхөөрөмжүүд болон тэдгээрийн шифрлэлт рүү шилжих.
Энэ бүхэн ачааллаас эхэлдэг"cmd.exe дээр байрлуулна" болон RSA нийтийн түлхүүрийн бүртгэлүүд.
Цагаан будаа. 46: Шифрлэхэд бэлтгэж байна
Дараа нь бүх логик хөтчүүдийг ашиглана GetLogicalDrives бүх нөөцлөлт, сэргээх цэгүүд болон аюулгүй ачаалах горимуудыг идэвхгүй болгодог.
Цагаан будаа. 47: Сэргээх хэрэгслийг идэвхгүй болгож байна
Үүний дараа энэ нь дээр дурдсанчлан систем дэх өөрийн оршихуйг бэхжүүлж, эхний файлыг бичдэг RyukReadMe.html в СУРГАЛТ.
Цагаан будаа. 48: Золиослолын мэдэгдлийг нийтэлж байна
Дараах зургаас энэ нь хэрхэн файл үүсгэж, агуулгыг татаж, бичиж байгааг харж болно.
Цагаан будаа. 49: Файлын агуулгыг ачаалах, бичих
Бүх төхөөрөмж дээр ижил үйлдлийг гүйцэтгэхийн тулд тэр ашигладаг
"icacls.exe", бид дээр үзүүлсэн шиг.
Цагаан будаа. 50: icalcls.exe ашиглах
Эцэст нь "*.exe", "*.dll" файлууд, системийн файлууд болон шифрлэгдсэн цагаан жагсаалт хэлбэрээр заасан бусад байршлаас бусад файлуудыг шифрлэж эхэлнэ. Үүнийг хийхийн тулд импортыг ашигладаг: CryptAcquireContextW (AES болон RSA ашиглахыг зааж өгсөн тохиолдолд), CryptDeriveKey, CryptGenKey, CryptDestroyKey гэх мэт. Энэ нь мөн WNetEnumResourceW ашиглан илрүүлсэн сүлжээний төхөөрөмжүүдэд хүрээгээ тэлэхийг оролддог бөгөөд дараа нь тэдгээрийг шифрлэдэг.
Цагаан будаа. 51: Системийн файлуудыг шифрлэх
6. Импорт болон харгалзах тугнууд
Доорх хүснэгтэд түүвэрт ашигласан хамгийн хамааралтай импорт болон тугуудыг жагсаав.
7. ОУОХ
лавлагаа
- usersPublicrun.sct
- Эхлэх цэсProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ryuk ransomware-ийн техникийн тайланг PandaLabs вирусны эсрэг лабораторийн мэргэжилтнүүд эмхэтгэсэн.
8. Холбоос
1. “Everis y Prisa Radio нь системийг аюулгүйгээр хамгаалдаг.”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. “Un virus de origen ruso ataca a importantes empresas españolas.” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. “VB2019 цаас: Шинигамигийн өшөө авалт: Ryuk хортой програмын урт сүүл.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. “Ryuk-тай том тоглоом агнах: Өөр нэг ашигтай, зорилтот золиослол.”https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019.
5. “VB2019 цаас: Шинигамигийн өшөө авалт: Ryuk хортой програмын урт сүүл.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Эх сурвалж: www.habr.com