Ryuk яке аз маъруфтарин вариантҳои нармафзори ransomware дар чанд соли охир мебошад. Азбаски он бори аввал дар тобистони соли 2018 пайдо шуд, он ҷамъоварӣ шудааст , бахусус дар муҳити тиҷорат, ки ҳадафи аслии ҳамлаҳои он аст.
1. Маълумоти умумӣ
Дар ин ҳуҷҷат таҳлили варианти ransomware Ryuk ва инчунин боркунаки масъул барои бор кардани нармафзори зараровар ба система иборат аст.
Барномаи ransomware Ryuk бори аввал тобистони соли 2018 пайдо шуд. Яке аз фарқиятҳои байни Ryuk ва дигар нармафзори ransomware дар он аст, ки он ба ҳамла ба муҳити корпоративӣ нигаронида шудааст.
Дар нимаи соли 2019 гурӯҳҳои киберҷинояткор бо истифода аз ин нармафзори ransomware ба шумораи зиёди ширкатҳои испанӣ ҳамла карданд.
Райс. 1: Иқтибос аз El Confidencial дар бораи ҳамлаи ransomware Ryuk [1]
Райс. 2: Иқтибос аз El País дар бораи ҳамлае, ки бо истифода аз нармафзори ransomware Ryuk анҷом дода шудааст [2]
Имсол Рюк ба шумораи зиёди ширкатҳо дар кишварҳои гуногун ҳамла кард. Тавре ки шумо дар рақамҳои зер мебинед, Олмон, Чин, Алҷазоир ва Ҳиндустон аз ҳама бештар зарар дидаанд.
Бо муқоисаи шумораи ҳамлаҳои киберӣ, мо метавонем бубинем, ки Рюк ба миллионҳо корбарон таъсир расонд ва миқдори зиёди маълумотро вайрон кард, ки боиси талафоти ҷиддии иқтисодӣ гардид.
Райс. 3: Тасвири фаъолияти ҷаҳонии Рюк.
Райс. 4: 16 кишваре, ки аз Рюк бештар зарар дидаанд
Райс. 5: Шумораи корбароне, ки аз ҷониби Ryuk ransomware ҳамла кардаанд (миллионҳо)
Тибқи принсипи муқаррарии кори чунин таҳдидҳо, ин нармафзори ransomware, пас аз анҷоми рамзгузорӣ, ба ҷабрдида огоҳиномаи фидяро нишон медиҳад, ки бояд бо биткоинҳо ба суроғаи муайяншуда барои барқарор кардани дастрасӣ ба файлҳои рамзгузоришуда пардохт карда шавад.
Ин нармафзори зараровар аз замони ҷорӣ шудани он тағир ёфтааст.
Варианти ин таҳдид, ки дар ин ҳуҷҷат таҳлил шудааст, ҳангоми кӯшиши ҳамла дар моҳи январи соли 2020 кашф шудааст.
Аз сабаби мураккабии худ, ин нармафзори зараровар аксар вақт ба гурӯҳҳои муташаккили киберҷиноятӣ, ки бо номи гурӯҳҳои APT маъруф аст, тааллуқ дорад.
Қисми рамзи Ryuk ба рамз ва сохтори дигари маъруфи ransomware, Hermes шабоҳати назаррас дорад, ки онҳо як қатор вазифаҳои якхеларо мубодила мекунанд. Ин аст, ки чаро Рюк дар ибтидо бо гурӯҳи Лазаруси Кореяи Шимолӣ, ки он вақт дар паси нармафзори ransomware Hermes гумонбар мешуд, иртибот дошт.
Хидмати CrowdStrike Falcon X баъдан қайд кард, ки Рюк воқеан аз ҷониби гурӯҳи WIZARD SPIDER [4] сохта шудааст.
Баъзе далелҳо барои тасдиқи ин тахмин вуҷуд доранд. Аввалан, ин нармафзори ransomware дар вебсайти exploit.in таблиғ карда шуд, ки як бозори маъруфи нармафзори Русия аст ва қаблан бо баъзе гурӯҳҳои APT Русия алоқаманд буд.
Ин далел назарияро рад мекунад, ки Рюк аз ҷониби гурӯҳи Лазарус APT таҳия шуда метавонад, зеро ба тарзи кори гурух мувофик нест.
Илова бар ин, Рюк ҳамчун нармафзори фидя эълон карда шуд, ки дар системаҳои Русия, Украина ва Беларус кор намекунад. Ин рафторро хусусияте муайян мекунад, ки дар баъзе версияҳои Ryuk мавҷуд аст, ки дар он забони системае, ки нармафзори ransomware кор мекунад, тафтиш мекунад ва агар система забони русӣ, украинӣ ё белорусӣ дошта бошад, онро аз кор бозмедорад. Дар ниҳоят, таҳлили коршиносии мошине, ки аз ҷониби гурӯҳи WIZARD SPIDER ҳакерӣ шудааст, якчанд "артефактҳо" -ро ошкор кард, ки гӯё дар таҳияи Ryuk ҳамчун варианти нармафзори ransomware Hermes истифода мешуданд.
Аз тарафи дигар, коршиносон Габриэла Николао ва Лучано Мартинс пешниҳод карданд, ки нармафзори фидя аз ҷониби гурӯҳи APT CryptoTech таҳия шудааст [5].
Ин аз он бармеояд, ки чанд моҳ пеш аз пайдо шудани Рюк ин гурӯҳ дар форуми ҳамон сайт маълумот нашр карда буд, ки онҳо версияи нави ransomware Hermes-ро таҳия кардаанд.
Якчанд корбарони форум савол доданд, ки оё CryptoTech воқеан Рюкро офаридааст. Сипас гурӯҳ худро дифоъ кард ва изҳор дошт, ки дар он далелҳо мавҷуданд, ки онҳо 100% нармафзори ransomware таҳия кардаанд.
2. Хусусиятҳо
Мо аз пурборкунанда оғоз мекунем, ки вазифаи он муайян кардани системаи он аст, то версияи "дуруст" -и нармафзори Ryuk оғоз шавад.
Хеши пурборкунанда чунин аст:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Яке аз хусусиятҳои ин зеркашӣкунанда дар он аст, ки дар он ҳеҷ гуна метадота мавҷуд нест, яъне. Офарандагони ин нармафзори зараровар ба он ягон маълумот ворид накардаанд.
Баъзан онҳо маълумоти нодурустро дар бар мегиранд, то корбарро фиреб диҳанд, ки онҳо як барномаи қонуниро иҷро мекунанд. Аммо, тавре ки мо дертар хоҳем дид, агар сироят муоширати корбаронро дар бар нагирад (чунон ки ин нармафзори ransomware аст), ҳамлагарон истифодаи метамаълумотро зарур намешуморанд.
Райс. 6: Намунаи маълумотҳои мета
Намуна дар формати 32-бит тартиб дода шудааст, то он ҳам дар системаҳои 32-бит ва 64-бит кор кунад.
3. Вектори воридшавӣ
Намунае, ки Рюкро зеркашӣ ва идора мекунад, тавассути пайвасти дурдаст вориди системаи мо шуд ва параметрҳои дастрасӣ тавассути ҳамлаи пешакии RDP ба даст оварда шуданд.
Райс. 7: Сабти ҳамла
Ба ҳамлагар муяссар шуд, ки ба система аз фосилаи дур ворид шавад. Пас аз он, вай бо намунаи мо як файли иҷрошаванда эҷод кард.
Ин файли иҷрошаванда пеш аз кор кардан тавассути ҳалли антивирус баста шуд.
Райс. 8: Қулфи намуна
Райс. 9: Қулфи намуна
Вақте ки файли шубҳанок баста шуд, ҳамлагар кӯшиш кард, ки версияи рамзгузоришудаи файли иҷрошавандаро зеркашӣ кунад, ки он ҳам баста шудааст.
Райс. 10: Маҷмӯи намунаҳое, ки ҳамлагар кӯшиш кард, ки иҷро кунад
Ниҳоят, ӯ кӯшиш кард, ки ба воситаи консоли рамзгузорӣ як файли зарароварро зеркашӣ кунад
PowerShell барои гузаштан аз муҳофизати антивирус. Аммо ӯ низ баста шуд.
Райс. 11: PowerShell бо мундариҷаи зараровар баста шудааст
Райс. 12: PowerShell бо мундариҷаи зараровар баста шудааст
4. Боркунак
Вақте ки он иҷро мешавад, он файли ReadMe-ро ба ҷузвдон менависад % temp%, ки барои Рюк хос аст. Ин файл як ёддошти фидя аст, ки дорои суроғаи почтаи электронӣ дар домени protonmail аст, ки дар ин оилаи нармафзори зараровар хеле маъмул аст: [почтаи электронӣ ҳифз карда шудааст]
Райс. 13: Талаби фидя
Ҳангоми кор кардани боркунак, шумо мебинед, ки он якчанд файлҳои иҷрошавандаро бо номҳои тасодуфӣ оғоз мекунад. Онҳо дар папкаи пинҳон нигоҳ дошта мешаванд ПАХТАКОРОН, аммо агар хосият дар системаи оператсионӣ фаъол набошад "Намоиш додани файлҳо ва ҷузвдонҳои пинҳон", он гоҳ онҳо пинҳон хоҳанд монд. Гузашта аз ин, ин файлҳо 64-бит мебошанд, бар хилофи файли волидайн, ки 32-бит аст.
Райс. 14: Файлҳои иҷрошаванда аз ҷониби намуна оғоз карда шудаанд
Тавре ки шумо дар тасвири боло мебинед, Ryuk icacls.exe-ро оғоз мекунад, ки он барои тағир додани ҳама ACLҳо (Рӯйхати назорати дастрасӣ) истифода мешавад ва ҳамин тавр дастрасӣ ва тағир додани парчамҳоро таъмин мекунад.
Он дар зери ҳама корбарон ба ҳама файлҳои дастгоҳ (/T) новобаста аз хатогиҳо (/C) ва бидуни нишон додани ягон паём (/Q) дастрасии пурра дорад.
Райс. 15: Параметрҳои иҷрои icacls.exe, ки аз ҷониби намуна оғоз шудааст
Қайд кардан муҳим аст, ки Рюк тафтиш мекунад, ки кадом версияи Windows-ро иҷро мекунед. Барои ин вай
бо истифода аз санҷиши версия анҷом медиҳад GetVersionExW, ки дар он арзиши парчамро тафтиш мекунад lpVersionInformationнишон медиҳад, ки версияи ҷории Windows аз навтар аст Windows XP.
Вобаста аз он ки шумо версияи дертар аз Windows XP кор карда истодаед, боркунаки пурборкунанда ба ҷузвдони корбари маҳаллӣ менависад - дар ин ҳолат ба ҷузвдон %омма%.
Райс. 17: Санҷиши версияи системаи оператсионӣ
Файле, ки навишта мешавад, Рюк аст. Он гоҳ онро иҷро мекунад ва суроғаи худро ҳамчун параметр мегузаронад.
Райс. 18: Рюкро тавассути ShellExecute иҷро кунед
Аввалин чизе, ки Рюк мекунад, қабули параметрҳои воридотӣ мебошад. Ин дафъа ду параметри вуруд мавҷуд аст (худи иҷрошаванда ва суроғаи қатракунанда), ки барои нест кардани пайҳои худ истифода мешаванд.
Райс. 19: Эҷоди раванд
Шумо инчунин метавонед бубинед, ки вақте ки он файлҳои иҷрошавандаи худро иҷро мекунад, худашро нест мекунад ва ба ин васила дар ҷузвдоне, ки дар он ҷо иҷро шуда буд, осори ҳузури худро намегузорад.
Райс. 20: Нест кардани файл
5. РЮК
5.1 Мавҷудият
Рюк, мисли дигар нармафзори зараровар, мекӯшад, ки то ҳадди имкон дар система бимонад. Тавре ки дар боло нишон дода шудааст, як роҳи расидан ба ин ҳадаф пинҳонӣ эҷод ва иҷро кардани файлҳои иҷрошаванда мебошад. Барои ин амалияи маъмултарин иваз кардани калиди реестр аст CurrentVersionRun.
Дар ин ҳолат, шумо мебинед, ки бо ин мақсад файли аввал оғоз карда мешавад VWjRF.exe
(номи файл ба таври тасодуфӣ тавлид мешавад) оғоз меёбад cmd.exe.
Райс. 21: Иҷрои VWjRF.exe
Пас фармонро ворид кунед RUN Бо номи "svchos". Ҳамин тариқ, агар шумо хоҳед, ки калидҳои реестрро дар вақти дилхоҳ санҷед, шумо метавонед ин тағиротро ба осонӣ аз даст диҳед, бо назардошти шабоҳати ин ном бо svchost. Ба шарофати ин калид, Рюк мавҷудияти онро дар система таъмин мекунад. Агар система надошта бошад. ҳанӯз сироят шудааст, пас вақте ки шумо системаро бозоғоз мекунед, файли иҷрошаванда дубора кӯшиш мекунад.
Райс. 22: Намуна мавҷудияти калиди реестрро таъмин мекунад
Мо инчунин мебинем, ки ин иҷрошаванда ду хидматро қатъ мекунад:
"сохтани нуқтаи аудио", ки тавре аз номаш бармеояд, ба аудиои система мувофиқат мекунад,
Райс. 23: Намуна хидмати аудиоии системаро қатъ мекунад
и Самс, ки хидмати идоракунии ҳисоб мебошад. Қатъ кардани ин ду хидмат хусусияти Рюк аст. Дар ин ҳолат, агар система ба системаи SIEM пайваст бошад, нармафзори ransomware кӯшиш мекунад, ки фиристоданро ба ҳама гуна огоҳиҳо. Бо ин роҳ, ӯ қадамҳои навбатии худро муҳофизат мекунад, зеро баъзе хидматҳои SAM пас аз иҷрои Рюк наметавонанд кори худро дуруст оғоз кунанд.
Райс. 24: Намуна хидматрасонии Samss-ро қатъ мекунад
5.2 Имтиёзҳо
Умуман, Рюк аз ҳаракат ба паҳлӯ дар дохили шабака оғоз меёбад ё он аз ҷониби дигар нармафзори зараровар ба кор андохта мешавад. ё , ки дар сурати афзоиши имтиёзҳо, ин ҳуқуқҳои баландшударо ба нармафзори ransomware интиқол медиҳанд.
Пеш аз ин, ҳамчун муқаддимаи раванди татбиқ, мо мебинем, ки ӯ ин равандро иҷро мекунад Худро муаррифӣ кардан, ки маънои онро дорад, ки мундариҷаи бехатарии аломати дастрасӣ ба ҷараён интиқол дода мешавад, ки он фавран бо истифода аз он гирифта мешавад. GetCurrentThread.
Райс. 25: ImpersonateSelf занг занед
Пас мо мебинем, ки он аломати дастрасиро бо ришта пайваст мекунад. Мо инчунин мебинем, ки яке аз парчамҳо Desired Access, ки метавонад барои назорат кардани дастрасӣ, ки ришта хоҳад дошт, истифода шавад. Дар ин ҳолат арзише, ки edx мегирад, бояд бошад TOKEN_ALL_ACESS ё ба таври дигар - ТОКЕН_НАВИСЕД.
Райс. 26: Эҷоди аломати ҷараён
Он гоҳ ӯ истифода хоҳад кард SeDebugPrivilege ва барои гирифтани иҷозати Debug дар ришта занг мезанад, ки дар натиҷа ПАРВАРДИГОРИ_ҲАМАИ_ДААСТ, вай метавонад ба ҳама гуна равандҳои зарурӣ дастрасӣ пайдо кунад. Ҳоло, бо назардошти он, ки рамзгузор аллакай ҷараёни омодашуда дорад, танҳо ба марҳилаи ниҳоӣ гузаштан боқӣ мемонад.
Райс. 27: Даъват ба SeDebugPrivilege ва Функсияи баланд бардоштани имтиёз
Аз як тараф, мо LookupPrivilegeValueW дорем, ки ба мо маълумоти заруриро дар бораи имтиёзҳое, ки мо мехоҳем зиёд кунем, медиҳад.
Райс. 28: Маълумот дар бораи имтиёзҳо барои густариши имтиёзҳо дархост кунед
Аз тарафи дигар, мо дорем Имтиёзҳои Token Adjust, ки ба мо имкон медиҳад, ки ба ҷараёни худ ҳуқуқҳои заруриро ба даст орем. Дар ин ҳолат, чизи аз ҳама муҳим аст NewState, ки байракаш имтиёзхо медихад.
Райс. 29: Муқаррар кардани ҳуқуқҳо барои нишона
5.3 Амалисозӣ
Дар ин бахш, мо нишон медиҳем, ки чӣ гуна намуна раванди татбиқи қаблан дар ин гузориш зикршударо иҷро мекунад.
Мақсади асосии раванди татбиқ, инчунин шиддат гирифтани дастрасӣ ба он мебошад нусхаҳои сояафкан. Барои ин ба ӯ лозим аст, ки бо риштаи дорои ҳуқуқҳои болотар аз ҳуқуқи корбари маҳаллӣ кор кунад. Пас аз ба даст овардани чунин ҳуқуқҳои баланд, он нусхаҳоро нест мекунад ва ба равандҳои дигар тағирот ворид мекунад, то баргаштан ба нуқтаи барқарорсозии қаблии системаи оператсионӣ имконнопазир бошад.
Тавре ки маъмулан бо ин намуди нармафзори зараровар истифода мешавад CreateToolHelp32 Snapshotаз ин рӯ, он акси равандҳои ҷорӣро мегирад ва кӯшиш мекунад, ки ба ин равандҳо тавассути истифода дастрасӣ пайдо кунад OpenProcess. Пас аз он ки он ба раванд дастрасӣ пайдо мекунад, он инчунин токенро бо иттилооти худ барои гирифтани параметрҳои раванд мекушояд.
Райс. 30: Гирифтани равандҳо аз компютер
Мо ба таври динамикӣ мебинем, ки чӣ тавр он рӯйхати равандҳои иҷрошавандаро дар реҷаи 140002D9C бо истифода аз CreateToolhelp32Snapshot мегирад. Пас аз гирифтани онҳо, ӯ аз рӯйхат мегузарад ва кӯшиш мекунад, ки равандҳоро як ба як бо истифода аз OpenProcess кушояд, то он даме, ки муваффақ шавад. Дар ин ҳолат, аввалин раванде, ки ӯ тавонист онро кушояд "taskhost.exe".
Райс. 31: Тартиби ба даст овардани равандро ба таври динамикӣ иҷро кунед
Мо мебинем, ки он баъдан иттилооти аломати равандро мехонад, бинобар ин занг мезанад OpenProcessToken бо параметри "20008"
Райс. 32: Маълумоти аломати равандро хонед
Он инчунин тафтиш мекунад, ки раванде, ки ба он ворид карда мешавад, нест csrss.exe, explorer.exe, lsaas.exe ё ки вай як катор хукукхо дорад Мақомоти NT.
Райс. 33: Равандҳои хориҷшуда
Мо метавонем ба таври динамикӣ бубинем, ки чӣ гуна он бори аввал чекро бо истифода аз иттилооти аломати раванд дар 140002D9C барои муайян кардани он, ки оё ҳисобе, ки ҳуқуқҳояш барои иҷрои раванд истифода мешаванд, ҳисоб аст NT AUTORITY.
Райс. 34: Санҷиши NT AUTORITY
Ва баъдтар, берун аз тартиб, ӯ тафтиш мекунад, ки ин нест csrss.exe, explorer.exe ё lsaas.exe.
Райс. 35: Санҷиши NT AUTORITY
Пас аз он ки ӯ акси равандҳоро гирифт, равандҳоро кушод ва тасдиқ кард, ки ҳеҷ кадоми онҳо истисно нестанд, вай омода аст, ки равандҳои воридшавандаро ба хотира нависад.
Барои ин, аввал он минтақаро дар хотира нигоҳ медорад (VirtualAllocEx), дар он менависад (Хотираи WriteProcess) ва ришта эҷод мекунад (CreateRemoteThread). Барои кор бо ин функсияҳо, он PID-ҳои равандҳои интихобшударо, ки қаблан бо истифода аз онҳо гирифта буд, истифода мебарад CreateToolhelp32 Snapshot.
Райс. 36: Рамзи ҷойгиркунӣ
Дар ин ҷо мо метавонем ба таври динамикӣ мушоҳида кунем, ки он чӣ гуна раванди PID-ро барои занги функсия истифода мебарад VirtualAllocEx.
Райс. 37: VirtualAllocEx занг занед
5.4 Рамзгузорӣ
Дар ин бахш, мо қисмати рамзгузории ин намунаро дида мебароем. Дар расми зерин шумо ду зерпрограммаро мебинед, ки "LoadLibrary_EncodeString"и"Encode_Func", ки барои иҷрои расмиёти рамзгузорӣ масъуланд.
Райс. 38: Тартиби рамзгузорӣ
Дар аввал мо мебинем, ки чӣ тавр он сатрро бор мекунад, ки баъдтар барои бартараф кардани ҳама чизҳои зарурӣ истифода мешавад: воридот, DLL, фармонҳо, файлҳо ва CSP.
Райс. 39: Схемаи деобфузатсия
Дар расми зерин воридоти аввалини он дар реестри R4 нишон дода шудааст. Китобхонаиро бор кунед. Ин баъдтар барои бор кардани DLL-ҳои зарурӣ истифода мешавад. Мо инчунин метавонем хати дигарро дар реестри R12 бубинем, ки дар баробари хати қаблӣ барои анҷом додани деобфузатсия истифода мешавад.
Райс. 40: Деобфузатсияи динамикӣ
Он зеркашии фармонҳоро идома медиҳад, ки баъдтар барои хомӯш кардани нусхаҳои эҳтиётӣ, нуқтаҳои барқарорсозӣ ва режимҳои пурборкунии бехатар иҷро мешаванд.
Райс. 41: Фармонҳои боркунӣ
Сипас он маконеро бор мекунад, ки дар он 3 файл партофта мешавад: Windows.bat, run.sct и start.bat.
Райс. 42: Ҷойгиршавии файл
Ин 3 файл барои тафтиши имтиёзҳое, ки ҳар як макон дорад, истифода мешавад. Агар имтиёзҳои зарурӣ мавҷуд набошанд, Рюк иҷроишро қатъ мекунад.
Он боркунии сатрҳои мувофиқи се файлро идома медиҳад. Аввал, DECRYPT_INFORMATION.html, дорои маълумоти зарурӣ барои барқарор кардани файлҳо. Дуюм, ПАХТАКОРОН, дорои калиди ҷамъиятии RSA.
Райс. 43: Хати DECRYPT INFORMATION.html
сеюм, НАМОЯНДАГӢ_ШАВОДА_НАМЕШАВАД, дорои калиди рамзгузоришуда, ки дар реҷаи навбатӣ барои иҷрои рамзгузорӣ истифода мешавад.
Райс. 44: Хати ID НОЁНА НАВОРЕД
Ниҳоят, он китобхонаҳои лозимиро дар баробари воридот ва CSP-ҳои лозимиро зеркашӣ мекунад (Microsoft Enhanced RSA и Таъминкунандаи криптографии AES).
Райс. 45: Боркунии китобхонаҳо
Пас аз анҷоми ҳама деобфузатсия, он ба иҷрои амалҳои зарурӣ барои рамзгузорӣ идома медиҳад: номбар кардани ҳамаи дискҳои мантиқӣ, иҷрои он чизе, ки дар реҷаи қаблӣ бор карда шуда буд, мустаҳкам кардани ҳузур дар система, партофтани файли RyukReadMe.html, рамзгузорӣ, номбар кардани ҳамаи дискҳои шабакавӣ. , гузариш ба дастгоҳҳои ошкоршуда ва рамзгузории онҳо.
Ҳамааш аз боркунӣ оғоз мешавад"cmd.exe" ва сабтҳои калиди оммавии RSA.
Райс. 46: Омодагӣ ба рамзгузорӣ
Пас аз он ҳама дискҳои мантиқӣ истифода мешавад GetLogicalDrives ва ҳамаи нусхаҳои эҳтиётӣ, барқароркунии нуқтаҳо ва режимҳои пурборкунии бехатарро хомӯш мекунад.
Райс. 47: Хомӯш кардани воситаҳои барқарорсозӣ
Пас аз он, он мавҷудияти худро дар система мустаҳкам мекунад, тавре ки мо дар боло дидем ва файли аввалро менависад RyukReadMe.html в Темп.
Райс. 48: Интишори огоҳии фидя
Дар расми зерин шумо метавонед бубинед, ки он чӣ гуна файл эҷод мекунад, мундариҷаро зеркашӣ мекунад ва менависад:
Райс. 49: Бор кардан ва навиштани мундариҷаи файл
Барои он ки дар ҳама дастгоҳҳо амалҳои якхеларо иҷро кунад, ӯ истифода мебарад
"icacls.exe", чунон ки мо дар боло нишон додем.
Райс. 50: Истифодаи icalcls.exe
Ва ниҳоят, он рамзкунонии файлҳоро оғоз мекунад, ба истиснои файлҳои "*.exe", "*.dll", файлҳои система ва дигар ҷойҳое, ки дар шакли рӯйхати сафеди рамзгузоришуда нишон дода шудаанд. Барои ин, он воридотро истифода мебарад: CryptAcquireContextW (дар он ҷо истифодаи AES ва RSA муайян карда шудааст), CryptDeriveKey, CryptGenKey, CryptDestroyKey ва ғайра. Он инчунин кӯшиш мекунад, ки дастрасии худро ба дастгоҳҳои шабакавии кашфшуда бо истифода аз WNetEnumResourceW васеъ кунад ва сипас онҳоро рамзгузорӣ кунад.
Райс. 51: Рамзгузории файлҳои система
6. Воридот ва парчамҳои мувофиқ
Дар зер ҷадвале оварда шудааст, ки воридот ва парчамҳои мувофиқтаринро, ки аз ҷониби намуна истифода мешаванд, номбар мекунанд:
7. IOC
мурожиат
- usersPublicrun.sct
- Оғоз МенюProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Гузориши техникӣ дар бораи барномаи Ryuk аз ҷониби коршиносони лабораторияи антивирусии PandaLabs таҳия шудааст.
8. Пайвандҳо
1. "Everis y Prisa Radio дар системаҳои муҳофизатӣ ҷойгир аст."https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. "Вируси аслии Русия ва муҳимтарин давлати Испания." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019.
3. "Коғази VB2019: Қасосгирии Шинигами: думи дарози нармафзори зараровар Ryuk." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Шикори бозии калон бо Рюк: Боз як нармафзори фоидаовар ва ҳадафманди фидя."https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada el 10/01/2019.
5. "Коғази VB2019: Қасосгирии Шинигами: думи дарози нармафзори зараровар Ryuk." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
Манбаъ: will.com