Ryuk ransomware कसे कार्य करते, जे व्यवसायांवर हल्ला करते

Ryuk हा गेल्या काही वर्षांतील सर्वात प्रसिद्ध रॅन्समवेअर पर्यायांपैकी एक आहे. 2018 च्या उन्हाळ्यात ते प्रथम दिसू लागल्यापासून, ते गोळा झाले आहे पीडितांची प्रभावी यादी, विशेषतः व्यावसायिक वातावरणात, जे त्याच्या हल्ल्यांचे मुख्य लक्ष्य आहे.

1. सामान्य माहिती

या दस्तऐवजात Ryuk ransomware प्रकाराचे विश्लेषण आहे, तसेच सिस्टममध्ये मालवेअर लोड करण्यासाठी जबाबदार लोडर आहे.

Ryuk ransomware पहिल्यांदा 2018 च्या उन्हाळ्यात दिसले. Ryuk आणि इतर ransomware मधील फरक म्हणजे ते कॉर्पोरेट वातावरणावर हल्ला करण्याच्या उद्देशाने आहे.

2019 च्या मध्यात, सायबर गुन्हेगारी गटांनी या रॅन्समवेअरचा वापर करून मोठ्या संख्येने स्पॅनिश कंपन्यांवर हल्ला केला.

तांदूळ. 1: Ryuk रॅन्समवेअर हल्ल्याबाबत एल कॉन्फिडेन्शियल मधील उतारा [१]

तांदूळ. 2: Ryuk ransomware वापरून केलेल्या हल्ल्याबद्दल El País मधील उतारा [2]
या वर्षी Ryuk ने विविध देशांतील कंपन्यांवर मोठ्या प्रमाणात हल्ला केला आहे. तुम्ही खाली दिलेल्या आकडेवारीत पाहू शकता की, जर्मनी, चीन, अल्जेरिया आणि भारताला सर्वाधिक फटका बसला.

सायबर हल्ल्यांच्या संख्येची तुलना करून, आम्ही पाहू शकतो की Ryuk ने लाखो वापरकर्त्यांना प्रभावित केले आहे आणि मोठ्या प्रमाणात डेटाशी तडजोड केली आहे, परिणामी गंभीर आर्थिक नुकसान झाले आहे.

तांदूळ. 3: Ryuk च्या जागतिक क्रियाकलापाचे चित्रण.

तांदूळ. 4: 16 देश सर्वात जास्त Ryuk प्रभावित

तांदूळ. 5: Ryuk ransomware ने हल्ला केलेल्या वापरकर्त्यांची संख्या (लाखो मध्ये)

अशा धमक्यांच्या नेहमीच्या ऑपरेटिंग तत्त्वानुसार, हे रॅन्समवेअर, एनक्रिप्शन पूर्ण झाल्यानंतर, पीडिताला खंडणीची सूचना दाखवते जी एनक्रिप्टेड फायलींमध्ये प्रवेश पुनर्संचयित करण्यासाठी निर्दिष्ट पत्त्यावर बिटकॉइन्समध्ये भरणे आवश्यक आहे.

हा मालवेअर पहिल्यांदा सादर केल्यापासून बदलला आहे.
या दस्तऐवजात विश्लेषण केलेल्या या धोक्याचा प्रकार जानेवारी 2020 मध्ये हल्ल्याच्या प्रयत्नादरम्यान शोधला गेला.

त्याच्या जटिलतेमुळे, या मालवेअरचे श्रेय अनेकदा संघटित सायबर गुन्हेगारी गटांना दिले जाते, ज्यांना APT गट म्हणूनही ओळखले जाते.

Ryuk कोडच्या एका भागामध्ये दुसर्‍या सुप्रसिद्ध रॅन्समवेअर, हर्मीसच्या कोड आणि संरचनेत लक्षणीय साम्य आहे, ज्यासह ते अनेक समान कार्ये सामायिक करतात. म्हणूनच Ryuk सुरुवातीला उत्तर कोरियाच्या लाझारस गटाशी जोडला गेला होता, ज्याचा त्या वेळी हर्मीस रॅन्समवेअरच्या मागे असल्याचा संशय होता.

CrowdStrike च्या Falcon X सेवेने नंतर नोंदवले की Ryuk ची निर्मिती विझार्ड स्पायडर ग्रुपने केली होती [४].

या गृहीतकाला पुष्टी देणारे काही पुरावे आहेत. प्रथम, या रॅन्समवेअरची जाहिरात exploit.in या वेबसाइटवर करण्यात आली होती, जी एक सुप्रसिद्ध रशियन मालवेअर मार्केटप्लेस आहे आणि यापूर्वी काही रशियन APT गटांशी संबंधित आहे.
ही वस्तुस्थिती हा सिद्धांत नाकारते की Ryuk लाझारस एपीटी गटाने विकसित केले असावे, कारण गटाच्या कार्यपद्धतीशी ते बसत नाही.

याव्यतिरिक्त, Ryuk ची रॅन्समवेअर म्हणून जाहिरात केली गेली जी रशियन, युक्रेनियन आणि बेलारशियन सिस्टमवर कार्य करणार नाही. हे वर्तन Ryuk च्या काही आवृत्त्यांमध्ये आढळलेल्या वैशिष्ट्याद्वारे निर्धारित केले जाते, जिथे ते रॅन्समवेअर ज्या सिस्टमवर चालत आहे त्या सिस्टमची भाषा तपासते आणि सिस्टममध्ये रशियन, युक्रेनियन किंवा बेलारशियन भाषा असल्यास ते चालण्यापासून थांबवते. शेवटी, WIZARD SPIDER टीमने हॅक केलेल्या मशीनच्या तज्ञ विश्लेषणाने अनेक “कलाकृती” उघड केल्या ज्या कथितपणे हर्मीस रॅन्समवेअरचा एक प्रकार म्हणून Ryuk च्या विकासामध्ये वापरल्या गेल्या होत्या.

दुसरीकडे, तज्ञ गॅब्रिएला निकोलाओ आणि लुसियानो मार्टिन्स यांनी सुचवले की रॅन्समवेअर कदाचित एपीटी ग्रुप क्रिप्टोटेक [५] द्वारे विकसित केले गेले असावे.
हे यावरून घडते की Ryuk दिसण्याच्या काही महिन्यांपूर्वी, या गटाने त्याच साइटच्या फोरमवर माहिती पोस्ट केली होती की त्यांनी हर्मीस रॅन्समवेअरची नवीन आवृत्ती विकसित केली होती.

अनेक मंच वापरकर्त्यांनी प्रश्न केला की CryptoTech ने खरोखर Ryuk तयार केला आहे का. त्यानंतर गटाने स्वतःचा बचाव केला आणि सांगितले की त्यांच्याकडे 100% रॅन्समवेअर विकसित केल्याचा पुरावा आहे.

2. वैशिष्ट्ये

आम्ही बूटलोडरपासून सुरुवात करतो, ज्याचे काम ते चालू असलेली प्रणाली ओळखणे आहे जेणेकरून Ryuk ransomware ची “योग्य” आवृत्ती लाँच करता येईल.
बूटलोडर हॅश खालीलप्रमाणे आहे:

MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469

या डाउनलोडरच्या वैशिष्ट्यांपैकी एक म्हणजे यात कोणताही मेटाडेटा नाही, म्हणजे. या मालवेअरच्या निर्मात्यांनी त्यात कोणतीही माहिती समाविष्ट केलेली नाही.

काहीवेळा ते चुकीचा डेटा समाविष्ट करतात जे वापरकर्त्याला ते कायदेशीर अनुप्रयोग चालवत आहेत असा विचार करून फसवतात. तथापि, जसे आपण नंतर पाहणार आहोत, जर संसर्गामध्ये वापरकर्त्याच्या परस्परसंवादाचा समावेश नसेल (जसे या रॅन्समवेअरच्या बाबतीत आहे), तर आक्रमणकर्ते मेटाडेटा वापरणे आवश्यक मानत नाहीत.

तांदूळ. 6: नमुना मेटा डेटा

नमुना 32-बिट फॉरमॅटमध्ये संकलित केला गेला होता जेणेकरून तो 32-बिट आणि 64-बिट दोन्ही सिस्टमवर चालू शकेल.

3. प्रवेश वेक्टर

Ryuk डाउनलोड आणि चालवणारा नमुना आमच्या सिस्टममध्ये रिमोट कनेक्शनद्वारे प्रवेश केला आणि ऍक्सेस पॅरामीटर्स प्राथमिक RDP हल्ल्याद्वारे प्राप्त केले गेले.

तांदूळ. 7: हल्ला नोंदवही

हल्लेखोर दूरस्थपणे सिस्टममध्ये लॉग इन करण्यात यशस्वी झाला. त्यानंतर, त्याने आमच्या नमुन्यासह एक एक्झिक्यूटेबल फाइल तयार केली.
ही एक्झिक्युटेबल फाइल चालण्यापूर्वी अँटीव्हायरस सोल्यूशनद्वारे अवरोधित केली गेली होती.

तांदूळ. 8: नमुना लॉक

तांदूळ. 9: नमुना लॉक

दुर्भावनायुक्त फाइल अवरोधित केल्यावर, आक्रमणकर्त्याने एक्झिक्युटेबल फाइलची एनक्रिप्टेड आवृत्ती डाउनलोड करण्याचा प्रयत्न केला, जो देखील अवरोधित केला गेला होता.

तांदूळ. 10: हल्लेखोराने चालवण्याचा प्रयत्न केलेल्या नमुन्यांचा संच

शेवटी, त्याने एनक्रिप्टेड कन्सोलद्वारे दुसरी दुर्भावनापूर्ण फाइल डाउनलोड करण्याचा प्रयत्न केला
अँटीव्हायरस संरक्षण बायपास करण्यासाठी पॉवरशेल. पण त्यालाही अडवण्यात आले.

तांदूळ. 11: दुर्भावनापूर्ण सामग्रीसह पॉवरशेल अवरोधित


तांदूळ. 12: दुर्भावनापूर्ण सामग्रीसह पॉवरशेल अवरोधित

4. लोडर

जेव्हा ते कार्यान्वित होते, तेव्हा ते फोल्डरमध्ये एक ReadMe फाइल लिहिते % ताप%, जे Ryuk साठी वैशिष्ट्यपूर्ण आहे. ही फाइल खंडणीची नोट आहे ज्यामध्ये प्रोटॉनमेल डोमेनमधील ईमेल पत्ता आहे, जो या मालवेअर कुटुंबात सामान्य आहे: [ईमेल संरक्षित]

तांदूळ. 13 : खंडणीची मागणी

बूटलोडर चालू असताना, तुम्ही पाहू शकता की ते यादृच्छिक नावांसह अनेक एक्झिक्युटेबल फाइल्स लाँच करते. ते लपविलेल्या फोल्डरमध्ये संग्रहित केले जातात सार्वजनिक, परंतु ऑपरेटिंग सिस्टममध्ये पर्याय सक्रिय नसल्यास "लपलेल्या फायली आणि फोल्डर्स दर्शवा", नंतर ते लपलेले राहतील. शिवाय, या फायली 64-बिट आहेत, मूळ फाइलच्या विपरीत, जे 32-बिट आहे.

तांदूळ. 14: नमुन्याद्वारे एक्झिक्युटेबल फाइल्स लाँच केल्या

जसे तुम्ही वरील इमेजमध्ये पाहू शकता, Ryuk ने icacls.exe लाँच केले आहे, ज्याचा वापर सर्व ACL (ऍक्सेस कंट्रोल लिस्ट) सुधारण्यासाठी केला जाईल, अशा प्रकारे फ्लॅग्समध्ये प्रवेश आणि सुधारणा सुनिश्चित होईल.

त्रुटी (/C) आणि कोणतेही संदेश (/Q) न दाखवता डिव्हाइस (/T) वरील सर्व फायलींमध्ये सर्व वापरकर्त्यांना पूर्ण प्रवेश मिळतो.

तांदूळ. 15: नमुन्याद्वारे icacls.exe चे एक्झिक्यूशन पॅरामीटर्स लॉन्च केले गेले

हे लक्षात घेणे महत्त्वाचे आहे की Ryuk तुम्ही विंडोजची कोणती आवृत्ती चालवत आहात हे तपासते. यासाठी त्यांनी
वापरून आवृत्ती तपासते GetVersionExW, ज्यामध्ये ते ध्वजाचे मूल्य तपासते lpVersion माहितीWindows ची वर्तमान आवृत्ती पेक्षा नवीन आहे की नाही हे सूचित करते विंडोज एक्सपी.

तुम्ही Windows XP पेक्षा नंतरची आवृत्ती चालवत आहात की नाही यावर अवलंबून, बूट लोडर स्थानिक वापरकर्ता फोल्डरवर लिहेल - या प्रकरणात फोल्डरमध्ये %सार्वजनिक%.

तांदूळ. 17: ऑपरेटिंग सिस्टम आवृत्ती तपासत आहे

Ryuk ही फाइल लिहिली जात आहे. ते नंतर पॅरामीटर म्हणून स्वतःचा पत्ता पास करून ते चालवते.

तांदूळ. 18: ShellExecute द्वारे Ryuk कार्यान्वित करा

Ryuk ने पहिली गोष्ट जी इनपुट पॅरामीटर्स प्राप्त केली आहे. या वेळी दोन इनपुट पॅरामीटर्स आहेत (एक्झिक्युटेबल स्वतः आणि ड्रॉपर पत्ता) जे स्वतःचे ट्रेस काढण्यासाठी वापरले जातात.

तांदूळ. 19: एक प्रक्रिया तयार करणे

आपण हे देखील पाहू शकता की एकदा त्याचे एक्झिक्युटेबल चालवल्यानंतर, ते स्वतःच हटवते, अशा प्रकारे ते कार्यान्वित केलेल्या फोल्डरमध्ये त्याच्या स्वतःच्या उपस्थितीचा कोणताही ट्रेस सोडत नाही.

तांदूळ. 20: फाइल हटवणे

5. RYUK

5.1 उपस्थिती
Ryuk, इतर मालवेअर प्रमाणे, शक्य तितक्या वेळ सिस्टमवर राहण्याचा प्रयत्न करतो. वर दर्शविल्याप्रमाणे, हे लक्ष्य साध्य करण्याचा एक मार्ग म्हणजे गुप्तपणे एक्झिक्युटेबल फाइल्स तयार करणे आणि चालवणे. हे करण्यासाठी, सर्वात सामान्य सराव म्हणजे रेजिस्ट्री की बदलणे करंटव्हर्शनरन.
या प्रकरणात, आपण पाहू शकता की या उद्देशासाठी प्रथम फाइल लॉन्च केली जाईल VWjRF.exe
(फाइलचे नाव यादृच्छिकपणे व्युत्पन्न केले आहे) लाँच करते सेमीडी.एक्स.

तांदूळ. 21: VWjRF.exe कार्यान्वित करत आहे

मग कमांड एंटर करा धावू नावासह "svchos". अशा प्रकारे, जर तुम्हाला नोंदणी की कधीही तपासायच्या असतील तर, svchost सोबत या नावाची समानता लक्षात घेऊन तुम्ही हा बदल सहजपणे चुकवू शकता. या कीबद्दल धन्यवाद, Ryuk सिस्टीममध्ये त्याची उपस्थिती सुनिश्चित करते. जर सिस्टीममध्ये नसेल तर अद्याप संसर्ग झाला आहे, नंतर जेव्हा तुम्ही सिस्टम रीबूट कराल, तेव्हा एक्झिक्युटेबल पुन्हा प्रयत्न करेल.

तांदूळ. 22: नमुना रेजिस्ट्री की मध्ये उपस्थिती सुनिश्चित करतो

आम्ही हे देखील पाहू शकतो की हे एक्झिक्युटेबल दोन सेवा थांबवते:
"ऑडिओएंडपॉइंट बिल्डर", जे, त्याच्या नावाप्रमाणे, सिस्टम ऑडिओशी संबंधित आहे,

तांदूळ. 23: नमुना प्रणाली ऑडिओ सेवा थांबवते

и Samss, जी खाते व्यवस्थापन सेवा आहे. या दोन सेवा बंद करणे हे Ryuk चे वैशिष्ट्य आहे. या प्रकरणात, जर सिस्टीम SIEM सिस्टीमशी कनेक्ट केलेली असेल, तर रॅन्समवेअर पाठवणे थांबवण्याचा प्रयत्न करतो siem कोणत्याही चेतावणी. अशा प्रकारे, तो त्याच्या पुढील चरणांचे संरक्षण करतो कारण काही SAM सेवा Ryuk कार्यान्वित केल्यानंतर त्यांचे कार्य योग्यरित्या सुरू करू शकणार नाहीत.

तांदूळ. 24 : नमुन्याने Samss सेवा बंद केली

5.2 विशेषाधिकार

साधारणपणे सांगायचे तर, Ryuk नेटवर्कमध्ये बाजूने हलवून सुरू होते किंवा ते दुसर्‍या मालवेअरद्वारे लॉन्च केले जाते जसे की एमोसेट किंवा ट्रिकबॉट, जे, विशेषाधिकार वाढीच्या घटनेत, हे उन्नत अधिकार रॅन्समवेअरकडे हस्तांतरित करतात.

अगोदर, अंमलबजावणी प्रक्रियेची पूर्वतयारी म्हणून, आम्ही त्याला प्रक्रिया पार पाडताना पाहतो तोतयागिरी करणे, ज्याचा अर्थ असा की प्रवेश टोकनची सुरक्षा सामग्री प्रवाहात पास केली जाईल, जिथे ती वापरून त्वरित पुनर्प्राप्त केली जाईल GetCurrentThread.

तांदूळ. 25: तोतया स्वत: ला कॉल करा

त्यानंतर आम्ही पाहतो की ते थ्रेडसह प्रवेश टोकन संबद्ध करेल. ध्वजांपैकी एक आहे हे देखील आपण पाहतो इच्छित प्रवेश, ज्याचा वापर थ्रेडमध्ये असणारा प्रवेश नियंत्रित करण्यासाठी केला जाऊ शकतो. या प्रकरणात edx ला मिळणारे मूल्य असावे TOKEN_ALL_ACESS किंवा अन्यथा - TOKEN_WRITE.

तांदूळ. 26: फ्लो टोकन तयार करणे

मग तो वापरेल SeDebugPrivilege आणि थ्रेडवर डीबग परवानग्या मिळविण्यासाठी कॉल करेल, परिणामी PROCESS_ALL_ACCESS, तो कोणत्याही आवश्यक प्रक्रियेत प्रवेश करण्यास सक्षम असेल. आता, एन्क्रिप्टरकडे आधीच तयार प्रवाह आहे हे लक्षात घेता, जे काही उरले आहे ते अंतिम टप्प्यावर जाणे आहे.

तांदूळ. 27: कॉलिंग SeDebugPrivilege आणि Privilege Escalation Function

एकीकडे, आमच्याकडे LookupPrivilegeValueW आहे, जे आम्हाला वाढवायचे असलेल्या विशेषाधिकारांबद्दल आवश्यक माहिती पुरवते.

तांदूळ. 28: विशेषाधिकार वाढीसाठी विशेषाधिकारांबद्दल माहितीची विनंती करा

दुसरीकडे, आमच्याकडे आहे टोकन विशेषाधिकार समायोजित करा, जे आम्हाला आमच्या प्रवाहासाठी आवश्यक अधिकार प्राप्त करण्यास अनुमती देते. या प्रकरणात, सर्वात महत्वाची गोष्ट आहे नवीन राज्य, ज्याचा ध्वज विशेषाधिकार प्रदान करेल.

तांदूळ. 29: टोकनसाठी अधिकार सेट करणे

5.3 अंमलबजावणी

या विभागात, आम्ही या अहवालात आधी नमूद केलेली अंमलबजावणी प्रक्रिया नमुना कशी पार पाडतो हे दाखवू.

अंमलबजावणी प्रक्रियेचे मुख्य उद्दिष्ट, तसेच वाढ, प्रवेश मिळवणे हे आहे छाया प्रती. हे करण्यासाठी, त्याला स्थानिक वापरकर्त्यांपेक्षा जास्त अधिकार असलेल्या थ्रेडसह कार्य करणे आवश्यक आहे. एकदा त्याला असे भारदस्त अधिकार मिळाले की, ते कॉपी हटवेल आणि ऑपरेटिंग सिस्टममधील पूर्वीच्या पुनर्संचयित बिंदूवर परत जाणे अशक्य करण्यासाठी इतर प्रक्रियांमध्ये बदल करेल.

या प्रकारच्या मालवेअर प्रमाणेच ते वापरते CreateToolHelp32Snapshotत्यामुळे ते सध्या चालू असलेल्या प्रक्रियांचा स्नॅपशॉट घेते आणि वापरून त्या प्रक्रियांमध्ये प्रवेश करण्याचा प्रयत्न करते OpenProcess. एकदा त्याला प्रक्रियेत प्रवेश मिळाला की, ते प्रक्रिया पॅरामीटर्स प्राप्त करण्यासाठी त्याच्या माहितीसह एक टोकन देखील उघडते.

तांदूळ. 30: संगणकावरून प्रक्रिया पुनर्प्राप्त करणे

CreateToolhelp140002Snapshot वापरून 9D32C मध्ये रनिंग प्रोसेसची यादी कशी मिळते ते आम्ही डायनॅमिकली पाहू शकतो. ते प्राप्त केल्यानंतर, तो यशस्वी होईपर्यंत ओपनप्रोसेस वापरून एकामागून एक प्रक्रिया उघडण्याचा प्रयत्न करत यादीतून जातो. या प्रकरणात, तो उघडण्यास सक्षम असलेली पहिली प्रक्रिया होती "taskhost.exe".

तांदूळ. 31: प्रक्रिया मिळविण्यासाठी डायनॅमिकली कार्यपद्धती कार्यान्वित करा

आम्ही पाहू शकतो की ते नंतर प्रक्रिया टोकन माहिती वाचते, म्हणून ते कॉल करते OpenProcessToken पॅरामीटरसह "20008"

तांदूळ. 32: प्रक्रिया टोकन माहिती वाचा

ते ज्या प्रक्रियेत इंजेक्शन दिले जाईल ते नाही हे देखील तपासते csrss.exe, explorer.exe, lsaas.exe किंवा त्याला अधिकारांचा संच आहे NT प्राधिकरण.

तांदूळ. 33: वगळलेल्या प्रक्रिया

मधील प्रक्रिया टोकन माहिती वापरून ते प्रथम तपासणी कशी करते ते आम्ही गतिशीलपणे पाहू शकतो 140002D9C प्रक्रिया पार पाडण्यासाठी ज्याचे अधिकार वापरले जात आहेत ते खाते आहे की नाही हे शोधण्यासाठी एनटी प्राधिकरण.

तांदूळ. 34: NT प्राधिकरणाची तपासणी

आणि नंतर, प्रक्रियेच्या बाहेर, तो तपासतो की हे नाही csrss.exe, explorer.exe किंवा lsaas.exe.

तांदूळ. 35: NT प्राधिकरणाची तपासणी

एकदा त्याने प्रक्रियांचा स्नॅपशॉट घेतला, प्रक्रिया उघडल्या आणि त्यापैकी एकही वगळलेले नाही याची पडताळणी केल्यानंतर, तो इंजेक्ट केल्या जाणार्‍या प्रक्रिया मेमरीमध्ये लिहिण्यास तयार आहे.

हे करण्यासाठी, ते प्रथम मेमरीमध्ये क्षेत्र राखून ठेवते (VirtualAllocEx), त्यात लिहितात (प्रक्रिया मेमरी लिहा) आणि एक धागा तयार करतो (रिमोट थ्रेड तयार करा). या फंक्शन्ससह कार्य करण्यासाठी, ते निवडलेल्या प्रक्रियेचे पीआयडी वापरते, जे यापूर्वी वापरून प्राप्त केले होते Toolhelp32 स्नॅपशॉट तयार करा.

तांदूळ. 36: एम्बेड कोड

फंक्शनला कॉल करण्यासाठी पीआयडी प्रक्रिया कशी वापरते ते येथे आपण गतिशीलपणे पाहू शकतो VirtualAllocEx.

तांदूळ. 37: VirtualAllocEx वर कॉल करा

5.4 एनक्रिप्शन
या विभागात, आम्ही या नमुन्याचा एन्क्रिप्शन भाग पाहू. खालील चित्रात तुम्ही " नावाचे दोन उपमार्ग पाहू शकताLoadLibrary_EncodeString"आणि"Encode_Func", जे एनक्रिप्शन प्रक्रिया पार पाडण्यासाठी जबाबदार आहेत.

तांदूळ. 38: एनक्रिप्शन प्रक्रिया

सुरवातीला आपण पाहू शकतो की ते स्ट्रिंग कसे लोड करते जे नंतर आवश्यक असलेल्या सर्व गोष्टी डीऑफस्केट करण्यासाठी वापरले जाईल: आयात, DLL, कमांड, फाइल्स आणि CSPs.

तांदूळ. 39: डिओबफस्केशन सर्किट

खालील आकृती नोंदणी R4 मध्ये डिओब्फस्केट केलेले पहिले आयात दर्शवते. लोडलिब्ररी. हे नंतर आवश्यक DLL लोड करण्यासाठी वापरले जाईल. आम्ही रजिस्टर R12 मध्ये आणखी एक ओळ देखील पाहू शकतो, जी डिऑफसेशन करण्यासाठी मागील ओळीसह वापरली जाते.

तांदूळ. 40: डायनॅमिक डीऑफस्केशन

हे बॅकअप अक्षम करण्यासाठी, बिंदू पुनर्संचयित करण्यासाठी आणि सुरक्षित बूट मोडसाठी नंतर चालेल अशा कमांड डाउनलोड करणे सुरू ठेवते.

तांदूळ. 41: कमांड लोड करत आहे

मग ते स्थान लोड करते जेथे ते 3 फायली टाकेल: Windows.bat, run.sct и start.bat.

तांदूळ. 42: फाइल स्थाने

या 3 फाइल्सचा उपयोग प्रत्येक स्थानाचे विशेषाधिकार तपासण्यासाठी केला जातो. आवश्यक विशेषाधिकार उपलब्ध नसल्यास, Ryuk अंमलबजावणी थांबवते.

हे तीन फाइल्सशी संबंधित ओळी लोड करणे सुरू ठेवते. पहिला, DECRYPT_INFORMATION.html, फाइल पुनर्प्राप्त करण्यासाठी आवश्यक माहिती समाविष्टीत आहे. दुसरा, सार्वजनिक, मध्ये RSA सार्वजनिक की समाविष्ट आहे.

तांदूळ. 43: लाइन डीक्रिप्ट माहिती.html

तिसऱ्या, UNIQUE_ID_DO_NOT_काढून टाका, मध्ये एनक्रिप्टेड की आहे जी एनक्रिप्शन करण्यासाठी पुढील दिनचर्यामध्ये वापरली जाईल.

तांदूळ. 44: ओळ युनिक आयडी काढू नका

शेवटी, ते आवश्यक आयात आणि CSPs सह आवश्यक लायब्ररी डाउनलोड करते (मायक्रोसॉफ्ट वर्धित RSA и AES क्रिप्टोग्राफिक प्रदाता).

तांदूळ. 45: लायब्ररी लोड करत आहे

सर्व डीऑफस्केशन पूर्ण झाल्यानंतर, ते एनक्रिप्शनसाठी आवश्यक क्रिया करण्यासाठी पुढे जाते: सर्व लॉजिकल ड्राइव्हची गणना करणे, मागील दिनचर्यामध्ये काय लोड केले होते ते कार्यान्वित करणे, सिस्टममधील उपस्थिती मजबूत करणे, RyukReadMe.html फाइल फेकणे, एन्क्रिप्शन, सर्व नेटवर्क ड्राइव्हची गणना करणे. , शोधलेल्या डिव्हाइसेस आणि त्यांच्या एन्क्रिप्शनमध्ये संक्रमण.
हे सर्व लोडिंगपासून सुरू होते"सेमीडी.एक्स" आणि RSA सार्वजनिक की रेकॉर्ड.

तांदूळ. 46: एनक्रिप्शनची तयारी करत आहे

मग ते वापरून सर्व लॉजिकल ड्राइव्ह मिळवते GetLogicalDrives आणि सर्व बॅकअप अक्षम करते, बिंदू पुनर्संचयित करते आणि सुरक्षित बूट मोड.

तांदूळ. 47: पुनर्प्राप्ती साधने निष्क्रिय करणे

त्यानंतर, आम्ही वर पाहिल्याप्रमाणे, ते सिस्टममध्ये त्याची उपस्थिती मजबूत करते आणि पहिली फाइल लिहिते RyukReadMe.html в टेम्प.

तांदूळ. 48: खंडणीची नोटीस प्रकाशित करणे

खालील चित्रात तुम्ही पाहू शकता की ती फाइल कशी तयार करते, सामग्री डाउनलोड करते आणि ती कशी लिहिते:

तांदूळ. 49: फाइल सामग्री लोड करणे आणि लिहिणे

सर्व उपकरणांवर समान क्रिया करण्यास सक्षम होण्यासाठी, तो वापरतो
"icacls.exe", आम्ही वर दर्शविल्याप्रमाणे.

तांदूळ. 50: icalcls.exe वापरणे

आणि शेवटी, ते “*.exe”, “*.dll” फाइल्स, सिस्टम फाइल्स आणि एनक्रिप्टेड व्हाईट लिस्टच्या स्वरूपात निर्दिष्ट केलेल्या इतर स्थानांशिवाय फायली एनक्रिप्ट करणे सुरू करते. हे करण्यासाठी, ते आयात वापरते: CryptAcquireContextW (जेथे AES आणि RSA चा वापर निर्दिष्ट केला आहे), CryptDeriveKey, CryptGenKey, CryptDestroyKey इ. हे WNetEnumResourceW वापरून शोधलेल्या नेटवर्क उपकरणांपर्यंत पोहोचण्याचा आणि नंतर त्यांना कूटबद्ध करण्याचा प्रयत्न करते.

तांदूळ. 51: सिस्टम फाइल्स एनक्रिप्ट करणे

6. आयात आणि संबंधित ध्वज

नमुन्याद्वारे वापरल्या जाणार्‍या सर्वात संबंधित आयात आणि ध्वजांची सूची खाली एक सारणी आहे:

7. IOC

संदर्भ

• userPublicrun.sct
• Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
• MenuProgramsStartupstart.bat

Ryuk ransomware वरील तांत्रिक अहवाल PandaLabs या अँटीव्हायरस प्रयोगशाळेतील तज्ञांनी संकलित केला होता.

8. दुवे

1. “Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas.” https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.

2. "Un virus de origen ruso ataca a importantes empresas españolas." https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.

3. “VB2019 पेपर: Shinigami's revenge: the long tail of Ryuk malware.” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019

4. "Ryuk सह मोठा गेम शिकार: आणखी एक आकर्षक लक्ष्यित रॅन्समवेअर." https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019.

5. “VB2019 पेपर: शिनिगामीचा बदला: Ryuk मालवेअरची लांब शेपटी.” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r

स्त्रोत: www.habr.com