Ryuk waa mid ka mid ah xulashooyinka ransomware-ka ugu caansan dhowrkii sano ee la soo dhaafay. Tan iyo markii ugu horreysay ee ay soo baxday xagaaga 2018, waxay soo ururisay , gaar ahaan goobaha ganacsiga, oo ah bartilmaameedka ugu weyn ee weerarradeeda.
1. Xog guud
Dukumeentigani waxa uu ka kooban yahay falanqaynta Ryuk ransomware kala duwanaanshiyaha, iyo sidoo kale xamuulka mas'uulka ka ah raritaanka malware-ka nidaamka.
Ryuk ransomware wuxuu markii ugu horreysay soo muuqday xagaaga 2018. Mid ka mid ah farqiga u dhexeeya Ryuk iyo ransomware kale ayaa ah in loogu talagalay in lagu weeraro deegaanka shirkadaha.
Bartamihii 2019, kooxaha dambiilayaasha internetka ayaa weeraray tiro aad u badan oo shirkado Isbaanish ah oo isticmaalaya ransomware-kan.
Bariis 1: Qoraal ka soo baxay El Confidencial oo ku saabsan weerarka Ryuk ransomware [1]
Bariis 2: Qayb ka mid ah El PaΓs oo ku saabsan weerar lagu qaaday Ryuk ransomware [2]
Sanadkan, Ryuk wuxuu weeraray shirkado badan oo wadamo kala duwan ah. Sida aad ku arki karto tirooyinka hoose, Jarmalka, Shiinaha, Aljeeriya iyo Hindiya ayaa ahaa kuwa ugu daran.
Marka la barbardhigo tirada weerarrada internetka, waxaan arki karnaa in Ryuk uu saameeyay malaayiin isticmaaleyaal ah oo uu waxyeeleeyay xog aad u badan, taasoo keentay khasaaro dhaqaale oo daran.
Bariis 3: Sawirka waxqabadka caalamiga ah ee Ryuk.
Bariis 4: 16 wadan oo uu saameeyay Ryuk
Bariis 5: Tirada isticmaalayaasha uu weeraray Ryuk ransomware (malaayiin)
Marka loo eego mabda'a hawlgalka caadiga ah ee hanjabaadaha noocan oo kale ah, ransomware-kan, ka dib marka sirta la dhammeeyo, waxay tusinaysaa dhibbanaha ogeysiis madax furasho ah oo ay tahay in lagu bixiyo bitcoins ciwaanka la cayimay si loo soo celiyo gelitaanka faylasha sir ah.
Malware-kan ayaa is beddelay tan iyo markii ugu horreysay ee la soo bandhigay.
Kala duwanaanshaha hanjabaaddan lagu lafaguray dukumeentigan ayaa la ogaaday intii lagu jiray isku day weerar bishii Janaayo 2020.
Kakanaanta uu leeyahay awgeed, malware-kan waxaa inta badan loo aaneeyaa kooxaha abaabulan ee dambiyada internetka, oo sidoo kale loo yaqaan kooxaha APT.
Qayb ka mid ah koodhka Ryuk waxay la mid tahay koodka iyo qaab dhismeedka madax furashada kale ee caanka ah, Hermes, kaas oo ay la wadaagaan tiro hawlo isku mid ah. Tani waa sababta Ryuk markii hore lala xiriiriyay kooxda Waqooyiga Kuuriya ee Lazarus, oo wakhtigaas lagu tuhunsanaa inay ka dambeysay Hermes madax-furasho.
Adeegga Falcon X ee CrowdStrike ayaa markii dambe xusay in Ryuk dhab ahaantii ay abuurtay kooxda WIZARD SPIDER [4].
Waxa jira caddaymo muujinaya malo-awaalkan. Marka hore, madax furashadan waxa lagu xayaysiiyay website-ka exploit.in, kaas oo ah goob suuq ah oo Ruush ah oo si fiican loo yaqaan oo hore loogu xidhay kooxaha APT ee Ruushka qaarkood.
Xaqiiqadani waxay meesha ka saaraysaa aragtida ah in Ryuk laga yaabo inay horumariyaan kooxda Lazarus APT, sababtoo ah kuma habboona habka ay kooxdu u shaqeyso.
Intaa waxaa dheer, Ryuk waxaa loo xayeysiiyay madax furasho ah oo aan ka shaqeyn doonin nidaamyada Ruushka, Yukreeniyaan iyo Belarusiyaanka. Dabeecaddan waxaa lagu go'aamiyaa sifo laga helay noocyada Ryuk qaarkood, halkaas oo ay ku hubinayso luqadda nidaamka uu ku shaqeynayo ransomware oo joojiya inuu socdo haddii nidaamku leeyahay luqad Ruush, Yukreeniyaan ama Belarusian. Ugu dambeyntii, falanqaynta khabiirka ee mishiinka ay jabsadeen kooxda WIZARD SPIDER ayaa shaaca ka qaaday dhowr "artifacs" oo la sheegay in loo isticmaalay horumarinta Ryuk sida kala duwanaanta Hermes ransomware.
Dhanka kale, khabiirada Gabriela Nicolao iyo Luciano Martins ayaa soo jeediyay in madax furashada laga yaabo inay soo saareen kooxda APT ee CryptoTech [5].
Tani waxay daba socotaa xaqiiqda ah in dhowr bilood ka hor muuqaalka Ryuk, kooxdani waxay ku dhejiyeen macluumaadka bogga isla goobta ay sameeyeen nooc cusub oo Hermes ransomware ah.
Qaar ka mid ah isticmaalayaasha golaha ayaa su'aal ka keenay in CryptoTech ay dhab ahaantii abuurtay Ryuk. Kooxda ayaa markaa is difaacday oo sheegtay inay hayaan caddaymo muujinaya inay 100% sameeyeen qalabka madax furashada.
2. Astaamaha
Waxaan ku bilaabeynaa bootloader-ka, kaas oo shaqadiisu tahay in la aqoonsado nidaamka uu ku jiro si nooca "saxda" ee Ryuk ransomware loo bilaabo.
Xashiishka bootloader waa sida soo socota:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Mid ka mid ah astaamaha soo dejiyahaan ayaa ah inaysan ku jirin wax xog badan ah, i.e. Abuurayaasha malware-kan kuma jiraan wax macluumaad ah.
Mararka qaarkood waxay ku daraan xog khaldan si ay u khiyaameeyaan isticmaalaha inuu u maleeyo inay wadaan codsi sharci ah. Si kastaba ha noqotee, sida aan arki doono dambe, haddii infekshanku aanu ku lug lahayn isdhexgalka isticmaalaha (sida kiiska ransomware), markaa weerarayaashu uma arkaan inay lagama maarmaan tahay in la isticmaalo metadata.
Bariis 6: Tusaalaha Xogta Meta
Muunadda waxaa lagu soo ururiyey qaab 32-bit ah si ay ugu shaqeyso labada nidaam ee 32-bit iyo 64-bit.
3. vector dhexda
Muunadda soo dejisa oo socodsiisa Ryuk waxay nidaamkayaga ku soo gashay xidhiidh fog, iyo cabbirrada gelitaanka waxa lagu helay weerar horudhac ah oo RDP ah.
Bariis 7: Diiwaanka Weerarka
Weeraryahanku waxa u suurtagashay in uu nidaamka ka galo meel fog. Intaa ka dib, wuxuu abuuray fayl la fulin karo oo muunaddeena ah.
Faylkan la fulin karo waxaa xannibay xal anti-virus ka hor inta uusan socon.
Bariis 8: Qaabka quful
Bariis 9: Qaabka quful
Markii faylka xaasidnimada ah la xannibay, weeraryahanku wuxuu isku dayay inuu soo dejiyo nooca sir ah ee faylka la fulin karo, kaas oo sidoo kale la xannibay.
Bariis 10: Sambalka muunado uu isku dayay qofka weerarka gaystay inuu ordo
Ugu dambeyntii, wuxuu isku dayay inuu soo dejiyo fayl kale oo xaasidnimo ah iyada oo loo marayo console sir ah
PowerShell si looga gudbo ilaalinta fayraska. Laakiin isagana waa la xannibay.
Bariis 11: PowerShell oo leh waxyaabo xaasidnimo leh ayaa la xannibay
Bariis 12: PowerShell oo leh waxyaabo xaasidnimo leh ayaa la xannibay
4. Soodejiye
Marka ay fuliso, waxay ku qortaa faylka ReadMe galka % temp%, taas oo caadi u ah Ryuk. Faylkaani waa warqad madaxfurasho ah oo ka kooban ciwaanka iimaylka ku jira barta protonmailka, kaas oo ku badan qoyskan malware: [emailka waa la ilaaliyay]
Bariis 13: Baahida Madax furashada
Inta uu bootloader-ku socdo, waxaad arki kartaa in ay soo saartay dhowr fayl oo la fulin karo oo leh magacyo aan kala sooc lahayn. Waxay ku kaydsan yihiin gal qarsoon DADKA, laakiin haddii ikhtiyaarku aanu firfircoonayn nidaamka hawlgalka "muuji faylasha qarsoon iyo galka", markaas way qarsoonaan doonaan. Waxaa intaa dheer, faylashani waa 64-bit, oo ka duwan faylka waalidka, kaas oo ah 32-bit.
Bariis 14: Faylasha la fulin karo oo muunadku bilaabay
Sida aad ku arki karto sawirka kore, Ryuk wuxuu bilaabay iacls.exe, kaas oo loo isticmaali doono in lagu beddelo dhammaan ACL-yada (liiska xakamaynta gelitaanka), si loo hubiyo gelitaanka iyo beddelka calanka.
Waxay si buuxda uga hoos helaysaa dhammaan isticmaalayaasha dhammaan faylasha ku jira aaladda (/T) iyada oo aan loo eegin khaladaadka (/C) iyo iyada oo aan muujin wax farriimo ah (/Q).
Bariis 15: Xaddiga fulinta ee iacls.exe oo uu bilaabay muunada
Waxaa muhiim ah in la ogaado in Ryuk uu hubinayo nooca Windows ee aad ku shaqeyneyso. Taas aawadeed ayuu
wuxuu sameeyaa hubinta nooca isagoo isticmaalaya GetVersionExW, kaas oo lagu hubinayo qiimaha calanka Macluumaadka lpVersiontaasoo muujinaysa in nooca hadda ee Windows uu ka cusub yahay iyo in kale Windows XP.
Iyada oo ku xidhan haddii aad ku shaqaynayso nooc ka dambeeya Windows XP, bootloader-ku wuxuu u qori doonaa galka isticmaalaha maxalliga ah - kiiskan galka %Public%.
Bariis 17: Hubinta nooca nidaamka hawlgalka
Faylka la qorayaa waa Ryuk. Dabadeed way maamulaysaa, iyada oo u gudbinaysa ciwaankeeda u gaarka ah.
Bariis 18: Ku fuli Ryuk iyada oo loo marayo ShellExecute
Waxa ugu horreeya ee Ryuk sameeyo waa in la helo cabbirada wax gelinta. Markan waxa jira laba xuduudood oo wax gelin ah (kuwa la fulin karo laftiisa iyo ciwaanka dhibcaha) kuwaas oo loo isticmaalo in lagu tirtiro raadkeeda.
Bariis 19: Abuurista Hannaan
Waxa kale oo aad arki kartaa in marka uu ordo hawlihii fulintiisa, uu is tirtiro, sidaas darteedna wax raad ah oo uu ku leeyahay galka lagu fuliyay ma jiro.
Bariis 20: Tirtirka faylka
5. RYUK
5.1 Joogitaanka
Ryuk, sida malware-ka kale, wuxuu isku dayaa inuu ku sii jiro nidaamka ilaa iyo inta suurtogalka ah. Sida kor ku cad, hal dariiqo oo lagu gaaro yoolkan waa in si qarsoodi ah loo abuuro oo loo maamulo faylal la fulin karo. Si tan loo sameeyo, dhaqanka ugu caansan waa in la beddelo furaha diiwaangelinta CurrentVersionRun.
Xaaladdan oo kale, waxaad arki kartaa in ujeedadaas faylka ugu horreeya ee la bilaabayo VWjRF.exe
(magaca faylka ayaa si aan kala sooc lahayn loo soo saaray) bilaabaa cmd.exe.
Bariis 21: Fulinta VWjRF.exe
Kadib geli amarka Orod Magac leh"svchos"Sidaas darteed, haddii aad rabto inaad hubiso furayaasha diiwaanka wakhti kasta, waxaad si fudud u seegi kartaa isbeddelkan, marka la eego isku midka ah magacan ee svchost. Thanks to furahaan, Ryuk waxay hubisaa joogitaanka nidaamka. Haddii nidaamku aanu haysan weli waa uu cudurku dhacay, ka dib markaad dib u bilowdo nidaamka, fulinta ayaa mar kale isku dayi doona.
Bariis 22: Muunadu waxay xaqiijinaysaa joogitaanka furaha diiwaangelinta
Waxaan sidoo kale arki karnaa in tan la fulin karo ay joojiso laba adeeg:
"maqal-dhiseeyaha", kaas oo, sida magaceeda ka muuqata, u dhigma nidaamka maqalka,
Bariis 23: Muunad ayaa joojisa adeegga maqalka ee nidaamka
ΠΈ Samss, kaas oo ah adeegga maamulka xisaabaadka. Joojinta labadan adeeg waa sifada Ryuk. Xaaladdan oo kale, haddii nidaamku ku xiran yahay nidaamka SIEM, ransomware-ku wuxuu isku dayaa inuu joojiyo u dirida digniin kasta. Sidan oo kale, wuxuu ilaaliyaa tillaabooyinka xiga maadaama adeegyada SAM qaarkood aysan awoodi doonin inay si sax ah u bilaabaan shaqadooda ka dib fulinta Ryuk.
Bariis 24: Tusaalaha ayaa joojiya adeegga Samss
5.2 Mudnaanta
Guud ahaan, Ryuk wuxuu ku bilaabmaa inuu u guuro dhinaca dambe ee shabakadda ama waxaa bilaabay malware kale sida ama , kaas oo, haddii ay dhacdo mudnaanta mudnaanta, u wareejinta xuquuqahan sare leh madaxfurasho.
Ka hor, horudhac u ah geeddi-socodka hirgelinta, waxaan u aragnaa inuu fuliyo hawsha Is-yeelyeel, taas oo macnaheedu yahay in macluumaadka amniga ee calaamadda gelitaanka loo gudbin doono qulqulka, halkaas oo isla markiiba la soo saari doono iyada oo la adeegsanayo GetCurrentThread.
Bariis 25: Wac Is-yeelyeelka
Waxaan markaas aragnaa in ay la xiriirin doonto calaamadda gelitaanka dunta. Waxaan sidoo kale aragnaa in mid ka mid ah calanka uu yahay Desired Access, kaas oo loo isticmaali karo in lagu xakameeyo gelitaanka duntu yeelan doonto. Xaaladdan oo kale qiimaha uu edx heli doono waa inuu ahaado TOKEN_ALL_ACESS ama haddii kale - TOKEN_QOR.
Bariis 26: Abuuritaanka Token socodka
Markaa wuu isticmaali doonaa SeDebugPrivilege oo wici doona si uu u helo ogolaanshaha Debug ee dunta, taasoo keentay PROCESS_ALL_ACCESS, wuxuu awood u yeelan doonaa inuu galo nidaam kasta oo loo baahan yahay. Hadda, marka la eego in encryptor-ku uu hore u lahaa qulqul diyaarsan, waxa hadhay oo dhan waa in loo sii gudbo heerka ugu dambeeya.
Bariis 27: U yeedhida SeDebugPrivilege iyo Shaqada Kordhinta Mudnaanta
Dhanka kale, waxaan haynaa LookupPrivilegeValueW, kaas oo na siinaya macluumaadka lagama maarmaanka ah ee ku saabsan mudnaanta aan rabno inaan kordhino.
Bariis 28: Codso macluumaadka ku saabsan mudnaanta kordhinta mudnaanta
Dhanka kale, waxaan leenahay AdjustTokenPrivileges, kaas oo noo ogolaanaya inaan helno xuquuqda lagama maarmaanka u ah qulqulkayaga. Xaaladdan oo kale, waxa ugu muhiimsan waa NewState, kuwaas oo calankoodu siin doono mudnaanta.
Bariis 29: Dejinta ogolaanshaha calaamad
5.3 Dhaqangelinta
Qaybtan, waxaynu ku tusi doonaa sida muunadku u fulyo nidaamka fulinta ee hore loogu sheegay warbixintan.
Hadafka ugu weyn ee geeddi-socodka hirgelinta, iyo sidoo kale kordhinta, waa in la helo nuqullo hadh ah. Si tan loo sameeyo, wuxuu u baahan yahay inuu la shaqeeyo dunta leh xuquuq ka sareysa kuwa isticmaala deegaanka. Marka ay hesho xuquuqahaas sareeyo, waxay tirtiri doontaa nuqullada oo waxay isbeddel ku samayn doontaa hababka kale si ay uga dhigto mid aan suurtagal ahayn in lagu soo celiyo barta hore ee nidaamka hawlgalka.
Sida caadiga ah nooca malware-ka, way isticmaashaa CreateToolHelp32Snaphotmarka waxay qaadanaysaa sawir ka mid ah hababka hadda socda waxayna isku daydaa inay gasho hababkaas iyada oo la adeegsanayo Habka Furan. Marka ay gasho nidaamka, waxay sidoo kale fureysaa calaamad macluumaadkeeda si ay u hesho cabbirada habka.
Bariis 30: Ka soo celinta hababka kombiyuutarka
Waxaan si firfircoon u arki karnaa sida ay u hesho liiska hababka socodsiinta ee caadiga ah 140002D9C iyadoo la adeegsanayo CreateToolhelp32Snapshot. Ka dib markii uu helo iyaga, wuxuu dhex maraa liiska, isku dayaya inuu furo hababka mid mid isticmaalaya OpenProcess ilaa uu ku guuleysto. Xaaladdan, nidaamkii ugu horreeyay ee uu awooday inuu furo wuxuu ahaa "taskhost.exe".
Bariis 31: Si fir-fircoon u fuli habraac si aad u hesho habraac
Waxaan arki karnaa in ay markaas akhrinayso macluumaadka calaamada habka, si ay u wacdo OpenProcessToken oo leh parameter"20008"
Bariis 32: Akhri macluumaadka calaamada habka
Waxa kale oo ay hubisaa in habka lagu duri doono aanu ahayn csrss.exe, Explorer.exe, lsaas.exe ama in uu leeyahay dhawr xuquuq Maamulka NT.
Bariis 33: Hababka laga saaray
Waxaan si firfircoon u arki karnaa sida ay marka hore u fuliso hubinta iyadoo la adeegsanayo macluumaadka calaamada habka 140002D9C si loo ogaado in koontada xuquuqdeeda loo adeegsanayo fulinta habraaca ay tahay xisaab MAAMULKA NT.
Bariis 34: Hubinta MAAMULKA NT
Kadibna, ka baxsan nidaamka, wuxuu hubiyaa in tani aysan ahayn csrss.exe, explorer.exe ama lsaas.exe.
Bariis 35: Hubinta MAAMULKA NT
Marka uu sawir ka qaado geeddi-socodyada, furo hababka, oo uu xaqiijiyo in aan midkoodna laga saarin, waxa uu diyaar u yahay in uu xasuusto hababka la isku duro.
Si tan loo sameeyo, waxay marka hore kaydinaysaa aag xusuusta ah (VirtualAllocEx), ayaa ku qoraya (Qor habka xusuusta) oo abuuraa dunta (CreateRemoteThread). Si aad ula shaqeyso hawlahan, waxay isticmaashaa PID-yada hababka la doortay, oo ay hore u heshay iyadoo la adeegsanayo Samee Toolhelp32 Sawir qaade.
Bariis 36: Koodhka ku dheji
Halkan waxaan si firfircoon ugu fiirsan karnaa sida ay u isticmaasho nidaamka PID si ay ugu yeerto shaqada VirtualAllocEx.
Bariis 37: Wac VirtualAllocEx
5.4 Sirin
Qaybtan, waxaan ku eegi doonaa qaybta sirta ah ee muunaddan. Sawirka soo socda waxaad ku arki kartaa laba subrootines oo loo yaqaan "LoadLibrary_EncodeString"iyo"Encode_Func", kuwaas oo mas'uul ka ah fulinta nidaamka sirta.
Bariis 38: Hababka sirta
Bilawga waxaan arki karnaa sida ay ugu shubto xadhig ka dib loo isticmaali doono in lagu caddeeyo wax kasta oo loo baahan yahay: soo dejinta, DLLs, amarrada, faylasha iyo CSPs.
Bariis 39: Wareegga deobfusation
Jaantuskan soo socdaa wuxuu muujinayaa soo dejintii ugu horreysay ee ay ku caddayso diiwaanka R4. Laybareeriga Load. Tan waxa loo isticmaali doonaa hadhow in lagu shubo DLL-yada loo baahan yahay. Waxaan sidoo kale ku arki karnaa khad kale oo ku jira diiwaanka R12, kaas oo loo isticmaalo xariiqii hore si loo sameeyo qarsoodi.
Bariis 40: Faafinta firfircoonida leh
Waxay sii waddaa soo dejinta amarrada ay ku socon doonto hadhow si ay u joojiso kaydka kaydinta, soo celinta dhibcaha, iyo hababka kabaha badbaadada leh.
Bariis 41: Awaamiirta soo dejinta
Kadibna waxay ku shubaysaa meesha ay ku ridi doonto 3 fayl: Daaqadaha.bat, run.sct ΠΈ bilaw.bat.
Bariis 42: Goobaha faylka
3-daan fayl waxaa loo isticmaalaa in lagu hubiyo mudnaanta ay meel walba leedahay. Haddii mudnaanta loo baahan yahay aan la heli karin, Ryuk wuxuu joojiyaa fulinta.
Waxay sii wadaa inay ku shubto xariiqyada u dhigma saddexda fayl. Marka hore, DECRYPT_INFORMATION.html, waxa ku jira macluumaadka lagama maarmaanka u ah soo kabashada faylasha. Labaad, DADKA, waxa ku jira furaha guud ee RSA
Bariis 43: Khadka XOGTA DECRYPT.html
Saddexaad, UNIQUE_ID_HA_KA SAAREYN, waxa ku jira furaha sir ah kaas oo loo isticmaali doono habka soo socda si loo sameeyo sirta
Bariis 44: AQOONSI GAAR AH LINE HA KA SAARIIN
Ugu dambeyntii, waxay soo dejisaa maktabadaha loo baahan yahay oo ay weheliso soo dejinta loo baahan yahay iyo CSP-yada (Microsoft wuxuu xoojiyay RSA ΠΈ Bixiyaha Cryptographic AES).
Bariis 45: Maktabadaha oo la raray
Ka dib markii dhammaan faahfaahinta la dhammeeyo, waxay sii socotaa si ay u fuliso ficillada looga baahan yahay sirta: xisaabinta dhammaan darawallada macquulka ah, fulinta wixii lagu shubay hawlihii hore, xoojinta joogitaanka nidaamka, tuurista faylka RyukReadMe.html, sirta, xisaabinta dhammaan shabakadaha shabakadaha , u gudubka aaladaha la ogaaday iyo sirtooda.
Wax walba waxay ku bilowdaan rarista"cmd.exe"iyo diiwaanada muhiimka ah ee RSA dadweynaha.
Bariis 46: Diyaarinta sirta
Kadibna waxay helaysaa dhammaan wadiiqooyinka macquulka ah iyadoo la adeegsanayo HelLogicalDrives oo wuxuu baabi'iyaa dhammaan kaydka, soo celinta dhibcooyinka iyo hababka kabaha badbaadada ah.
Bariis 47: Qalabka soo kabashada oo la demiyo
Taas ka dib, waxay xoojisaa joogitaanka nidaamka, sida aan kor ku soo aragnay, oo qora faylka ugu horreeya RyukReadMe.html Π² TEMP.
Bariis 48: Daabacaadda ogaysiis madax furasho ah
Sawirka soo socda waxaad ka arki kartaa sida uu u sameeyo faylka, u soo dejiyo waxa ku jira oo u qoro:
Bariis 49: Rarista iyo qorista waxa ku jira faylka
Si uu u awoodo inuu ku sameeyo ficillo isku mid ah dhammaan aaladaha, wuu isticmaalaa
"iacls.exe", sida aan kor ku muujinnay.
Bariis 50: Isticmaalka icalcls.exe
Ugu dambeyntiina, waxay bilaabeysaa sirta faylasha marka laga reebo "* .exe", "* .dll", faylasha nidaamka iyo meelaha kale ee lagu qeexay qaabka liiska cad ee sirta ah. Si tan loo sameeyo, waxay isticmaashaa soo dejinta: CryptAcquireContextW (halka lagu cayimay isticmaalka AES iyo RSA), CryptDeriveKey, CryptGenKey, CryptDestroyKey iwm. Waxa kale oo ay isku daydaa inay gaadhsiiso gaadhigeeda aaladaha shabakadda ee la helay iyadoo la isticmaalayo WNetEnumResourceW ka dibna sir.
Bariis 51: Sirin faylasha nidaamka
6. Soo dejinta iyo calamada u dhigma
Hoos waxaa ku yaal shax ay ku qoran yihiin soo dejinta iyo calamada ugu khuseysa ee muunaduhu adeegsadeen:
7. IOC
tixraacyada
- IsticmaalayaashaPublicrun.sct
- Bilow Barnaamijyada MenuStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Warbixin farsamo oo ku saabsan ransomware-ka Ryuk waxaa soo aruuriyay khubaro ka socota sheybaarka antivirus PandaLabs.
8. Xiriirinta
1. "Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas."https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. "Un virus de origen ruso ataca a importantes empresas espaΓ±olas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_251312.html, Publicada el 04/11/2019.
3. "VB2019 warqad: Shinigami's aargoosi: dabada dheer ee malware-ka Ryuk." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Ugaarsiga Weyn ee Ryuk: Ransomware kale oo LucrativebTargeted."https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-nother-lecrative- targeted-ransomware/, Publicada el 10/01/2019.
5. "VB2019 warqad: Shinigami's aargoosi: dabada dheer ee Malware Ryuk." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-warqad-shinigamis-aargoosi-long-tail-r
Source: www.habr.com