Ryuk په تیرو څو کلونو کې یو له خورا مشهور ransomware اختیارونو څخه دی. له هغه وخته چې دا لومړی ځل د 2018 په دوبي کې راڅرګند شو، دا راټول شوی په ځانګړې توګه د سوداګرۍ په چاپیریال کې، کوم چې د دې بریدونو اصلي هدف دی.
1. عمومي معلومات
دا سند د Ryuk ransomware ډول تحلیل لري، په بیله بیا هغه لوډر چې په سیسټم کې د مالویر بارولو مسولیت لري.
د Ryuk ransomware لومړی ځل د 2018 په دوبي کې څرګند شو. د Ryuk او نورو ransomware ترمنځ یو توپیر دا دی چې دا د کارپوریټ چاپیریال برید کول دي.
د 2019 په مینځ کې ، سایبر جرمي ډلو د دې رینسم ویئر په کارولو سره په لوی شمیر هسپانوي شرکتونو برید وکړ.
وريجې. 1: د Ryuk ransomware برید په اړه د ال محرم څخه اقتباس [1]
وريجې. 2: د Ryuk ransomware په کارولو سره د برید په اړه د ال پایس څخه اقتباس [2]
سږکال، Ryuk په مختلفو هیوادونو کې په لوی شمیر شرکتونو بریدونه کړي دي. لکه څنګه چې تاسو په لاندې ارقامو کې لیدلی شئ، آلمان، چین، الجزایر او هند تر ټولو سخت ځپل شوي وو.
د سایبر بریدونو شمیر په پرتله کولو سره، موږ لیدلی شو چې Ryuk په میلیونونو کاروونکي اغیزمن کړي او د ډیټا لوی مقدار سره موافقت کړی، چې پایله یې د سخت اقتصادي زیان سره مخ شوې.
وريجې. 3: د Ryuk نړیوال فعالیت بیلګه.
وريجې. 4: 16 هیوادونه د Ryuk لخوا ډیر اغیزمن شوي
وريجې. 5: د Ryuk ransomware لخوا د برید کونکو شمیر (په ملیونونو کې)
د دې ډول ګواښونو د عادي عملیاتي اصولو له مخې، دا ransomware، وروسته له دې چې د کوډ کولو بشپړ شي، قرباني ته د تاوان خبرتیا ښیي چې کوډ شوي فایلونو ته د لاسرسي بیرته ترلاسه کولو لپاره باید ټاکل شوي پته ته په بټکوین کې پیسې ورکړل شي.
دا مالویر بدل شوی ځکه چې دا لومړی ځل معرفي شوی و.
د دې ګواښ ډول چې په دې سند کې تحلیل شوی د 2020 په جنوري کې د برید هڅې په جریان کې کشف شو.
د دې پیچلتیا له امله، دا مالویر ډیری وختونه منظم سایبر جرمي ډلو ته منسوب کیږي، چې د APT ګروپونو په نوم هم پیژندل کیږي.
د Ryuk کوډ یوه برخه د بل پیژندل شوي ransomware، Hermes د کوډ او جوړښت سره د پام وړ ورته والی لري، کوم چې دوی یو شمیر ورته دندې شریکوي. له همدې امله ریوک په پیل کې د شمالي کوریا له ډلې لازاروس سره تړاو درلود ، کوم چې په هغه وخت کې د هرمیس رینسم ویئر ترشا شک کیده.
د CrowdStrike Falcon X خدمت بیا وروسته یادونه وکړه چې Ryuk په حقیقت کې د WIZARD SPIDER ډلې لخوا رامینځته شوی [4].
د دې انګیرنې د ملاتړ لپاره ځینې شواهد شتون لري. لومړی، دا ransomware په ویب پاڼه exploit.in کې اعلان شوی و، کوم چې د روسیې د مالویر یو مشهور بازار دی او مخکې له دې د روسیې APT ګروپونو سره تړاو درلود.
دا حقیقت هغه تیوري ردوي چې Ryuk ممکن د لازر APT ګروپ لخوا رامینځته شوی وي ، ځکه چې دا د ډلې د فعالیت له طریقې سره سمون نه لري.
سربیره پردې ، Ryuk د ransomware په توګه اعلان شوی و چې په روسیه ، اوکراین او بیلاروس سیسټمونو کې به کار ونکړي. دا چلند د Ryuk په ځینو نسخو کې موندل شوي ب featuresې لخوا ټاکل کیږي ، چیرې چې دا د سیسټم ژبه ګوري په کوم کې چې ransomware چلیږي او د چلولو مخه نیسي که چیرې سیسټم روسی ، اوکرایني یا بیلاروسی ژبه ولري. په نهایت کې ، د ماشین یوه ماهر تحلیل چې د WIZARD SPIDER ټیم لخوا هیک شوی و ډیری "نثار" افشا کړل چې ادعا یې د هرمیس ransomware د ډول په توګه د Ryuk په پراختیا کې کارول شوي.
له بلې خوا ، کارپوهانو ګبریلا نیکولاو او لوسیانو مارټینز وړاندیز وکړ چې د رینسم ویئر ممکن د APT ګروپ کریپټو ټیک لخوا رامینځته شوی وي [5].
دا د حقیقت څخه تعقیب کیږي چې د Ryuk له ظهور څخه څو میاشتې دمخه، دې ډلې د ورته سایټ په فورم کې معلومات خپاره کړل چې دوی د هرمیس ransomware نوې نسخه جوړه کړې وه.
د فورم ډیری کاروونکو پوښتنه وکړه چې ایا کریپټو ټیک واقعیا Ryuk رامینځته کړی. دې ډلې بیا له ځانه دفاع وکړه او ویې ویل چې دا شواهد لري چې دوی د رینسم ویئر 100٪ رامینځته کړی.
2. ځانګړتیاوې
موږ د بوټلوډر سره پیل کوو، چې دنده یې دا ده چې هغه سیسټم وپیژني چې دا روان دی ترڅو د Ryuk ransomware "سمه" نسخه پیل شي.
د بوټلوډر هش په لاندې ډول دی:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
د دې ډاونلوډر یوه ځانګړتیا دا ده چې دا هیڅ میټاډاټا نلري، د بیلګې په توګه. د دې مالویر جوړونکي پدې کې هیڅ معلومات ندي شامل کړي.
ځینې وختونه دوی غلط معلومات شاملوي ترڅو کاروونکي فکر وکړي چې دوی یو مشروع غوښتنلیک پرمخ وړي. په هرصورت، لکه څنګه چې موږ به وروسته وګورو، که چیرې انفیکشن د کاروونکي متقابل عمل ونلري (لکه څنګه چې د دې ransomware سره قضیه ده)، نو برید کونکي د میټاډاټا کارولو لپاره اړین نه ګڼي.
وريجې. 6: د میټا ډاټا نمونه
نمونه په 32-bit بڼه کې جوړه شوې وه نو دا کولی شي په 32-bit او 64-bit سیسټمونو کې پرمخ بوځي.
3. د ننوتلو ویکتور
هغه نمونه چې ډاونلوډ او چلوي Ryuk زموږ سیسټم ته د ریموټ اتصال له لارې ننوتلی ، او د لاسرسي پیرامیټونه د لومړني RDP برید له لارې ترلاسه شوي.
وريجې. ۷: د برید ثبتول
برید کوونکی توانیدلی چې سیسټم ته له لرې څخه ننوځي. له هغې وروسته، هغه زموږ د نمونې سره د اجرا وړ فایل جوړ کړ.
دا د اجرا وړ فایل د چلولو دمخه د انټي ویروس حل لخوا بند شوی و.
وريجې. 8: د پتنوس قفل
وريجې. 9: د پتنوس قفل
کله چې ناوړه فایل بند شو، برید کونکي هڅه وکړه چې د اجرا وړ فایل یوه کوډ شوي نسخه ډاونلوډ کړي، کوم چې هم بند شوی و.
وريجې. 10: د نمونو سیټ چې برید کونکي هڅه وکړه چې وتښتي
په نهایت کې ، هغه هڅه وکړه چې د کوډ شوي کنسول له لارې یو بل ناوړه فایل ډاونلوډ کړي
PowerShell د انټي ویروس محافظت بای پاس کولو لپاره. خو هغه هم بند شو.
وريجې. 11: PowerShell د ناوړه مینځپانګې سره بلاک شوی
وريجې. 12: PowerShell د ناوړه مینځپانګې سره بلاک شوی
4. لوډر
کله چې دا اجرا شي، دا فولډر ته د ReadMe فایل لیکي ٪ temp٪، کوم چې د Ryuk لپاره ځانګړی دی. دا فایل د تاوان یادښت دی چې په پروټون میل ډومین کې د بریښنالیک پته لري، کوم چې په دې مالویر کورنۍ کې خورا عام دی: [ایمیل خوندي شوی]
وريجې. ۱۳: د تاوان غوښتنه
پداسې حال کې چې بوټلوډر روان وي، تاسو لیدلی شئ چې دا د تصادفي نومونو سره ډیری اجرایوي فایلونه پیلوي. دوی په پټ فولډر کې ساتل کیږي عامه، مګر که چیرې اختیار په عملیاتي سیسټم کې فعال نه وي "پټ شوي فایلونه او فولډرونه وښایاست"نو دوی به پټ پاتې شي. سربیره پردې ، دا فایلونه 64-bit دي ، د اصلي فایل برعکس ، کوم چې 32-bit دی.
وريجې. 14: د اجرا وړ فایلونه د نمونې لخوا پیل شوي
لکه څنګه چې تاسو په پورته عکس کې لیدلی شئ، Ryuk icacls.exe پیل کوي، کوم چې به د ټولو ACLs (د لاسرسي کنټرول لیستونو) بدلولو لپاره وکارول شي، پدې توګه د بیرغونو لاسرسی او ترمیم ډاډمن کوي.
دا د وسیلې (/T) ټولو فایلونو ته د ټولو کاروونکو لاندې بشپړ لاسرسی ترلاسه کوي پرته لدې چې خطاګانې (/C) او پرته له کوم پیغام (/Q) ښودلو څخه.
وريجې. 15: د نمونې لخوا د icacls.exe د اجرا کولو پیرامیټونه پیل شوي
دا مهمه ده چې په یاد ولرئ چې Ryuk ګوري چې د وینډوز کومه نسخه تاسو چلوئ. د دې لپاره هغه
په کارولو سره د نسخې چک ترسره کوي GetVersionExWپه کوم کې چې دا د بیرغ ارزښت ګوري lpVersionInformationدا په ګوته کوي چې ایا د وینډوز اوسنی نسخه له هغه څخه نوې ده Windows XP.
د دې پورې اړه لري چې ایا تاسو د وینډوز ایکس پی څخه وروسته نسخه پرمخ وړئ ، بوټ لوډر به د محلي کارونکي فولډر ته ولیکي - پدې حالت کې فولډر ته عامه %.
وريجې. 17: د عملیاتي سیسټم نسخه چیک کول
هغه فایل چې لیکل کیږي Ryuk دی. دا بیا دا چلوي، خپل پته د پیرامیټر په توګه تیریږي.
وريجې. 18: Ryuk د ShellExecute له لارې اجرا کړئ
لومړی شی چې Ryuk کوي د ان پټ پیرامیټونه ترلاسه کوي. دا وخت دوه ان پټ پیرامیټونه شتون لري (د اجرا وړ پخپله او د ډراپر پته) چې د خپلو نښو لرې کولو لپاره کارول کیږي.
وريجې. ۱۹: د پروسې جوړول
تاسو دا هم لیدلی شئ چې یوځل چې دا خپل اجراییوي چلوي ، دا پخپله حذف کوي ، پدې توګه په فولډر کې د خپل شتون هیڅ نښه نه پریږدي چیرې چې دا اعدام شوی و.
وريجې. 20: د فایل حذف کول
5. RYUK
5.1 شتون
Ryuk، د نورو مالویر په څیر، هڅه کوي د امکان تر حده په سیسټم کې پاتې شي. لکه څنګه چې پورته ښودل شوي، د دې هدف ترلاسه کولو یوه لاره په پټه توګه د اجرا وړ فایلونو رامینځته کول او چلول دي. د دې کولو لپاره، ترټولو عام عمل د راجسټری کیلي بدلول دي اوسنی ویش.
پدې حالت کې ، تاسو کولی شئ وګورئ چې د دې هدف لپاره لومړی فایل په لاره اچول کیږي VWjRF.exe
(د دوتنې نوم په تصادفي ډول تولید شوی) پیل کوي cmd.exe.
وريجې. ۲۱: د VWjRF.exe اجرا کول
بیا کمانډ دننه کړئ RUN په نوم"svchosپه دې توګه، که تاسو غواړئ چې په هر وخت کې د راجستر کیلي وګورئ، تاسو کولی شئ دا بدلون په اسانۍ سره له لاسه ورکړئ، د دې نوم سره ورته والی د svchost سره. د دې کیلي څخه مننه، Ryuk په سیسټم کې خپل شتون ډاډمن کوي. که سیسټم نه وي. بیا هم اخته شوی، نو کله چې تاسو سیسټم ریبوټ کړئ، اجرا وړ به بیا هڅه وکړي.
وريجې. 22: نمونه د راجسټری کیلي کې شتون تضمینوي
موږ دا هم لیدلی شو چې دا اجرایوي دوه خدمتونه ودروي:
"د آډیو پاینټ جوړونکی"، کوم چې، لکه څنګه چې د دې نوم وړاندیز کوي، د سیسټم آډیو سره مطابقت لري،
وريجې. 23: نمونه د سیسټم آډیو خدمت بندوي
и سمس، کوم چې د حساب مدیریت خدمت دی. د دې دوو خدماتو بندول د Ryuk ځانګړتیا ده. په دې حالت کې، که سیسټم د SIEM سیسټم سره وصل وي، ransomware هڅه کوي چې لیږل بند کړي. هر ډول اخطارونه په دې توګه، هغه خپل راتلونکی ګامونه خوندي کوي ځکه چې د SAM ځینې خدمتونه به د Ryuk اجرا کولو وروسته خپل کار په سمه توګه پیل نه کړي.
وريجې. 24: نمونه د سامس خدمت بندوي
5.2 امتیازات
په عمومي توګه، Ryuk د شبکې دننه په ورو ورو حرکت کولو سره پیل کیږي یا دا د بل مالویر لخوا پیل کیږي لکه او یا ، کوم چې د امتیازاتو د زیاتوالي په حالت کې ، دا لوړ حقونه ransomware ته لیږدوي.
مخکې له دې، د پلي کولو پروسې ته د لومړيتوب په توګه، موږ ګورو چې هغه پروسه ترسره کوي د ځان نقضول، دا پدې مانا ده چې د لاسرسي نښه امنیتي مینځپانګې به جریان ته لیږدول کیږي ، چیرې چې دا به سمدلاسه د کارولو په کارولو سره ترلاسه شي. GetCurrentThread.
وريجې. 25: خپل ځان ته زنګ ووهئ
بیا موږ ګورو چې دا به د تار سره د لاسرسي نښه شریک کړي. موږ دا هم وینو چې د بیرغونو څخه یو دی مطلوب لاسرسی، کوم چې د لاسرسي کنټرول لپاره کارول کیدی شي چې تار به ولري. پدې حالت کې هغه ارزښت چې edx به ترلاسه کړي باید وي TOKEN_ALL_ACESS یا بل ډول - TOKEN_WRITE.
وريجې. ۲۶: د فلو ټوکن جوړول
بیا به هغه وکاروي SeDebug Privilege او په تار کې د ډیبګ اجازې ترلاسه کولو لپاره به زنګ ووهي ، په پایله کې PROCESS_ALL_ACCESS، هغه به وکولی شي هر اړین پروسې ته لاسرسی ومومي. اوس، دې ته په پام سره چې کوډ کوونکی لا دمخه چمتو شوی جریان لري، ټول هغه څه چې پاتې دي وروستي مرحلې ته ځي.
وريجې. 27: د SeDebugPrivilege او Privilege Escalation Function کال کول
له یوې خوا، موږ د LookupPrivilegeValueW لرو، کوم چې موږ ته د هغه امتیازاتو په اړه اړین معلومات راکوي چې موږ یې غواړو زیات کړو.
وريجې. 28: د امتیازاتو د زیاتوالي لپاره د امتیازاتو په اړه د معلوماتو غوښتنه وکړئ
له بلې خوا، موږ لرو د ټوکن امتیازات تنظیم کړئ، کوم چې موږ ته اجازه راکوي چې زموږ جریان ته اړین حقونه ترلاسه کړو. په دې صورت کې تر ټولو مهمه خبره ده نوی ریاست، د چا بیرغ به امتیازات ورکړي.
وريجې. 29: د نښه کولو لپاره د اجازې ترتیب کول
5.3 پلي کول
پدې برخه کې، موږ به وښیو چې نمونه څنګه د پلي کولو پروسه ترسره کوي چې مخکې پدې راپور کې یادونه شوې.
د پلي کولو د پروسې اصلي موخه، او همدارنګه د تېښتې، د لاسرسي ترلاسه کول دي سیوري کاپي. د دې کولو لپاره، هغه اړتیا لري چې د یو تار سره کار وکړي چې د ځایی کاروونکو په پرتله لوړ حقونه لري. یوځل چې دا دومره لوړ حقونه ترلاسه کړي ، دا به کاپي حذف کړي او په نورو پروسو کې بدلونونه رامینځته کړي ترڅو په عملیاتي سیسټم کې د بیا رغونې پخواني ځای ته بیرته راستنیدل ناممکن کړي.
لکه څنګه چې د دې ډول مالویر سره معمول دی، دا کاروي CreateToolHelp32Snapshotنو دا د اوسني روان پروسو یو سنیپ شاټ اخلي او هڅه کوي په کارولو سره دې پروسو ته لاسرسی ومومي OpenProcess. یوځل چې دا پروسې ته لاسرسی ومومي ، دا د پروسې پیرامیټرو ترلاسه کولو لپاره د دې معلوماتو سره نښه هم خلاصوي.
وريجې. 30: د کمپیوټر څخه د پروسې بیرته اخیستل
موږ کولی شو په متحرک ډول وګورو چې دا څنګه د CreateToolhelp140002Snapshot په کارولو سره په معمول 9D32C کې د چلولو پروسو لیست ترلاسه کوي. د دوی ترلاسه کولو وروسته، هغه د لیست څخه تیریږي، هڅه کوي چې د OpenProcess په کارولو سره یو له بل سره پروسې خلاص کړي تر هغه چې هغه بریالی نشي. په دې حالت کې، لومړنۍ پروسه چې هغه یې د پرانیستلو توان درلود "taskhost.exe".
وريجې. 31: د پروسې ترلاسه کولو لپاره په متحرک ډول اجرا کول
موږ لیدلی شو چې دا وروسته د پروسې ټکن معلومات لوستل کیږي، نو دا زنګ وهي OpenProcessToken د پیرامیټر سره "20008"
وريجې. 32: د پروسې ټکن معلومات ولولئ
دا دا هم چک کوي چې هغه پروسه چې دا به په کې داخل شي نه ده csrss.exe, explorer.exe, lsaas.exe یا دا چې هغه یو لړ حقوق لري د NT واک.
وريجې. ۳۳: خارج شوي بهیرونه
موږ کولی شو په متحرک ډول وګورو چې دا څنګه لومړی د پروسې ټکن معلوماتو په کارولو سره چیک ترسره کوي 140002D9C د دې لپاره چې معلومه کړي چې ایا هغه حساب چې د پروسې د اجرا کولو لپاره کارول کیږي یو حساب دی د NT واک.
وريجې. 34: د NT AUTHORITY چک
او وروسته، د کړنلارې بهر، هغه ګوري چې دا نه ده csrss.exe، explorer.exe او یا lsaas.exe.
وريجې. 35: د NT AUTHORITY چک
یوځل چې هغه د پروسو عکس اخیستی ، پروسې یې خلاصې کړې ، او تایید یې کړه چې له دوی څخه هیڅ هم نه دي ایستل شوي ، هغه چمتو دی چې یادداشت ته هغه پروسې ولیکي چې انجیکشن کیږي.
د دې کولو لپاره، دا لومړی په حافظه کې یوه ساحه خوندي کوي (VirtualAllocExپه دې کې لیکي (د لیکلو پروسې یادښت) او یو تار جوړوي (RemoteThread جوړ کړئ). د دې دندو سره د کار کولو لپاره، دا د ټاکل شویو پروسو PIDs کاروي، کوم چې مخکې یې په کارولو سره ترلاسه کړي د Toolhelp32 سنیپ شاټ جوړ کړئ.
وريجې. ۳۶: ایمبیډ کوډ
دلته موږ کولی شو په متحرک ډول وګورو چې دا څنګه د فنکشن زنګ وهلو لپاره پروسې PID کاروي VirtualAllocEx.
وريجې. 37: VirtualAllocEx ته زنګ ووهئ
5.4 کوډ کول
پدې برخه کې، موږ به د دې نمونې د کوډ کولو برخه وګورو. په لاندې انځور کې تاسو دوه فرعي روټینونه لیدلی شئ چې نوم یې "LoadLibrary_EncodeString"او"Encode_Func"، کوم چې د کوډ کولو پروسې ترسره کولو مسولیت لري.
وريجې. 38: د کوډ کولو کړنالرې
په پیل کې موږ کولی شو وګورو چې دا څنګه یو تار پورته کوي چې وروسته به د هر هغه څه د مخنیوي لپاره وکارول شي چې ورته اړتیا وي: واردات، DLLs، کمانډونه، فایلونه او CSPs.
وريجې. ۳۹: Deobfuscation circuit
لاندې شمیره لومړی وارد ښیي چې دا په راجستر R4 کې بې ځایه کوي. د بار وړلو. دا به وروسته د اړین DLLs پورته کولو لپاره وکارول شي. موږ کولی شو په R12 راجستر کې بله کرښه هم وګورو، کوم چې د مخکینۍ کرښې سره یوځای کارول کیږي ترڅو د ډیبفسیکیشن ترسره کړي.
وريجې. 40: متحرک deobfuscation
دا د کمانډونو ډاونلوډ ته دوام ورکوي چې دا به وروسته د بیک اپ غیر فعال کولو ، پوائنټونو بحالولو ، او خوندي بوټ حالتونو لپاره وګرځي.
وريجې. ۴۱: د کمانډونو پورته کول
بیا دا هغه ځای پورته کوي چیرې چې دا به 3 فایلونه پریږدي: Windows.bat، run.sct и start.bat.
وريجې. ۴۲: د دوسیې ځایونه
دا 3 فایلونه د امتیازاتو چک کولو لپاره کارول کیږي چې هر ځای لري. که چیرې اړین امتیازات شتون ونلري، Ryuk اعدام ودروي.
دا د دریو فایلونو سره ورته لینونو بارولو ته دوام ورکوي. لومړی، DECRYPT_INFORMATION.html، د فایلونو بیرته ترلاسه کولو لپاره اړین معلومات لري. دوهم، عامه، د RSA عامه کیلي لري.
وريجې. 43: لاین ډیکریټ INFORMATION.html
دریم، UNIQUE_ID_DO_NOT_REMOVE، کوډ شوی کیلي لري چې د کوډ کولو ترسره کولو لپاره به په راتلونکي معمول کې وکارول شي.
وريجې. 44: کرښه یونیک ID مه لرې کوئ
په نهایت کې ، دا د اړینو وارداتو او CSPs سره اړین کتابتونونه ډاونلوډ کوي (د مایکروسافټ وده RSA и د AES کریپټوګرافیک چمتو کونکی).
وريجې. ۴۵: د کتابتونونو بارول
وروسته له دې چې ټول ډیبفسیکیشن بشپړ شي ، دا د کوډ کولو لپاره اړین عملونو ترسره کولو ته دوام ورکوي: د ټولو منطقي ډرایو شمیرل ، د هغه څه اجرا کول چې په تیرو روټین کې بار شوي و ، په سیسټم کې شتون قوي کول ، د RyukReadMe.html فایل غورځول ، کوډ کول ، د ټولو شبکې ډرایو شمیرل ، کشف شوي وسیلو ته لیږد او د دوی کوډ کول.
دا ټول د بارولو سره پیل کیږي "cmd.exeاو د RSA عامه کلیدي ریکارډونه.
وريجې. 46: د کوډ کولو لپاره چمتو کول
بیا دا ټول منطقي ډرایو په کارولو سره ترلاسه کوي GetLogicalDrives او ټول بیک اپ غیر فعالوي، پوائنټونه بحالوي او خوندي بوټ موډونه.
وريجې. 47: د بیا رغونې وسایل غیر فعال کول
له هغې وروسته، دا په سیسټم کې خپل شتون پیاوړی کوي، لکه څنګه چې موږ پورته ولیدل، او لومړی فایل لیکي RyukReadMe.html в TEMP.
وريجې. ۴۸: د تاوان خبرتیا خپرول
په لاندې عکس کې تاسو لیدلی شئ چې دا څنګه فایل رامینځته کوي ، مینځپانګه ډاونلوډ کوي او لیکي:
وريجې. ۴۹: د فایل منځپانګې پورته کول او لیکل
د دې لپاره چې په ټولو وسیلو کې ورته عملونه ترسره کړي، هغه کاروي
"icacls.exe"، لکه څنګه چې موږ پورته ښودلې.
وريجې. 50: د icalcls.exe کارول
او په نهایت کې، دا د فایلونو کوډ کول پیل کوي پرته له "*.exe"، "*.dll" فایلونو، سیسټم فایلونو او نور ځایونه چې د کوډ شوي سپین لیست په بڼه مشخص شوي. د دې کولو لپاره، دا واردات کاروي: CryptAcquireContextW (چیرته چې د AES او RSA کارول مشخص شوي) CryptDeriveKey، CryptGenKey, CryptDestroyKey etc دا هڅه کوي د WNetEnumResourceW په کارولو سره کشف شوي شبکې وسیلو ته خپل لاسرسی وغزوي او بیا یې کوډ کړي.
وريجې. 51: د سیسټم فایلونو کوډ کول
6. واردات او اړونده بیرغونه
لاندې یو جدول دی چې د نمونې لخوا کارول شوي خورا اړونده واردات او بیرغونه لیست کوي:
7. IOC
مرجع
- userPublicrun.sct
- Start MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
د Ryuk ransomware په اړه تخنیکي راپور د انټي ویروس لابراتوار پانډا لیب متخصصینو لخوا ترتیب شوی و.
8. لینکونه
1. "Everis y Prisa راډیو sufren un grave ciberataque que secuestra sus sistemas." https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. "Un virus de origen ruso ataca a importantes empresas españolas." https://elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. "VB2019 کاغذ: د شینګامي انتقام: د Ryuk مالویر اوږده لکۍ." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "د ریوک سره د لوی لوبې ښکار: یو بل ګټور هدف لرونکی رینسم ویئر." https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019.
5. "VB2019 کاغذ: د شینګامي انتقام: د Ryuk مالویر اوږده لکۍ." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
سرچینه: www.habr.com