Ryuk เป็นหนึ่งในตัวเลือกแรนซัมแวร์ที่โด่งดังที่สุดในช่วงไม่กี่ปีที่ผ่านมา นับตั้งแต่ปรากฏตัวครั้งแรกในฤดูร้อนปี 2018 ก็ได้รวบรวม โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมทางธุรกิจซึ่งเป็นเป้าหมายหลักของการโจมตี
1. ข้อมูลทั่วไป
เอกสารนี้ประกอบด้วยการวิเคราะห์ตัวแปรของแรนซัมแวร์ Ryuk รวมถึงตัวโหลดที่รับผิดชอบในการโหลดมัลแวร์เข้าสู่ระบบ
Ryuk ransomware ปรากฏตัวครั้งแรกในช่วงฤดูร้อนปี 2018 ความแตกต่างอย่างหนึ่งระหว่าง Ryuk และแรนซัมแวร์อื่นๆ ก็คือมันมุ่งเป้าไปที่การโจมตีสภาพแวดล้อมขององค์กร
ในช่วงกลางปี 2019 กลุ่มอาชญากรไซเบอร์โจมตีบริษัทสเปนจำนวนมากโดยใช้แรนซัมแวร์นี้
ข้าว. 1: ข้อความที่ตัดตอนมาจาก El Confidencial เกี่ยวกับการโจมตีแรนซัมแวร์ Ryuk [1]
ข้าว. 2: ข้อความที่ตัดตอนมาจาก El País เกี่ยวกับการโจมตีที่ดำเนินการโดยใช้ Ryuk ransomware [2]
ในปีนี้ Ryuk ได้โจมตีบริษัทจำนวนมากในประเทศต่างๆ ดังที่คุณเห็นในภาพด้านล่าง เยอรมนี จีน แอลจีเรีย และอินเดีย เป็นกลุ่มที่ได้รับผลกระทบหนักที่สุด
จากการเปรียบเทียบจำนวนการโจมตีทางไซเบอร์ เราจะเห็นได้ว่า Ryuk ส่งผลกระทบต่อผู้ใช้หลายล้านคนและทำลายข้อมูลจำนวนมหาศาล ส่งผลให้เกิดการสูญเสียทางเศรษฐกิจอย่างรุนแรง
ข้าว. 3: ภาพประกอบกิจกรรมระดับโลกของริว
ข้าว. 4: 16 ประเทศที่ได้รับผลกระทบจากริวมากที่สุด
ข้าว. 5: จำนวนผู้ใช้ที่ถูกโจมตีโดย Ryuk ransomware (เป็นล้าน)
ตามหลักการทำงานตามปกติของภัยคุกคามดังกล่าว แรนซัมแวร์นี้หลังจากการเข้ารหัสเสร็จสมบูรณ์ จะแสดงการแจ้งเตือนค่าไถ่แก่เหยื่อซึ่งจะต้องชำระเป็น bitcoin ไปยังที่อยู่ที่ระบุเพื่อกู้คืนการเข้าถึงไฟล์ที่เข้ารหัส
มัลแวร์นี้มีการเปลี่ยนแปลงนับตั้งแต่มีการเปิดตัวครั้งแรก
ตัวแปรของภัยคุกคามนี้ที่วิเคราะห์ในเอกสารนี้ถูกค้นพบระหว่างการโจมตีในเดือนมกราคม 2020
เนื่องจากความซับซ้อน มัลแวร์นี้จึงมักเกิดจากกลุ่มอาชญากรไซเบอร์ที่จัดตั้งขึ้นหรือที่เรียกว่ากลุ่ม APT
ส่วนหนึ่งของโค้ด Ryuk มีความคล้ายคลึงที่เห็นได้ชัดเจนกับโค้ดและโครงสร้างของแรนซั่มแวร์ Hermes ที่มีชื่อเสียงอีกตัวหนึ่ง ซึ่งพวกมันมีฟังก์ชันที่เหมือนกันหลายอย่างร่วมกัน นี่คือสาเหตุที่เริ่มแรก Ryuk มีความเชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือ ซึ่งในเวลานั้นถูกสงสัยว่าอยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ Hermes
บริการ Falcon X ของ CrowdStrike ระบุในภายหลังว่า Ryuk จริงๆ แล้วถูกสร้างขึ้นโดยกลุ่ม WIZARD SPIDER [4]
มีหลักฐานบางอย่างที่สนับสนุนสมมติฐานนี้ ประการแรก แรนซัมแวร์นี้ถูกโฆษณาบนเว็บไซต์ Exploit.in ซึ่งเป็นตลาดมัลแวร์ชื่อดังของรัสเซีย และก่อนหน้านี้มีความเกี่ยวข้องกับกลุ่ม APT ของรัสเซียบางกลุ่ม
ข้อเท็จจริงข้อนี้ตัดทอนทฤษฎีที่ว่า Ryuk สามารถได้รับการพัฒนาโดยกลุ่ม Lazarus APT เนื่องจาก ไม่สอดคล้องกับแนวทางการดำเนินงานของกลุ่ม
นอกจากนี้ Ryuk ยังถูกโฆษณาว่าเป็นแรนซัมแวร์ที่จะไม่ทำงานในระบบรัสเซีย ยูเครน และเบลารุส พฤติกรรมนี้ถูกกำหนดโดยฟีเจอร์ที่พบใน Ryuk บางเวอร์ชัน โดยจะตรวจสอบภาษาของระบบที่แรนซัมแวร์ทำงานอยู่ และหยุดไม่ให้ทำงานหากระบบมีภาษารัสเซีย ยูเครน หรือเบลารุส ในที่สุด การวิเคราะห์โดยผู้เชี่ยวชาญเกี่ยวกับเครื่องที่ถูกแฮ็กโดยทีม WIZARD SPIDER ได้เปิดเผย “สิ่งประดิษฐ์” หลายอย่างที่ถูกกล่าวหาว่าใช้ในการพัฒนา Ryuk ให้เป็นตัวแปรหนึ่งของแรนซัมแวร์ Hermes
ในทางกลับกัน ผู้เชี่ยวชาญ Gabriela Nicolao และ Luciano Martins แนะนำว่าแรนซัมแวร์อาจได้รับการพัฒนาโดยกลุ่ม APT CryptoTech [5]
สิ่งนี้ตามมาจากข้อเท็จจริงที่ว่าหลายเดือนก่อนการปรากฏตัวของ Ryuk กลุ่มนี้โพสต์ข้อมูลบนฟอรัมของไซต์เดียวกันว่าพวกเขาได้พัฒนา Hermes ransomware เวอร์ชันใหม่
ผู้ใช้ฟอรัมหลายคนตั้งคำถามว่า CryptoTech สร้าง Ryuk ขึ้นมาจริงหรือไม่ จากนั้นกลุ่มก็ปกป้องตัวเองและระบุว่ามีหลักฐานว่าพวกเขาพัฒนาแรนซัมแวร์ได้ 100%
2. ลักษณะ
เราเริ่มต้นด้วยโปรแกรมโหลดบูต ซึ่งมีหน้าที่ระบุระบบที่เปิดอยู่ เพื่อให้สามารถเปิดใช้งาน Ryuk ransomware เวอร์ชันที่ "ถูกต้อง" ได้
แฮชของ bootloader จะเป็นดังนี้:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
หนึ่งในคุณสมบัติของตัวดาวน์โหลดนี้คือไม่มีข้อมูลเมตาใด ๆ เช่น ผู้สร้างมัลแวร์นี้ไม่ได้รวมข้อมูลใดๆ ไว้ในนั้น
บางครั้งอาจมีข้อมูลที่ผิดพลาดเพื่อหลอกให้ผู้ใช้คิดว่าตนใช้งานแอปพลิเคชันที่ถูกต้องตามกฎหมาย อย่างไรก็ตาม ดังที่เราจะได้เห็นในภายหลัง หากการติดเชื้อไม่เกี่ยวข้องกับการโต้ตอบของผู้ใช้ (เช่นในกรณีของแรนซัมแวร์นี้) ผู้โจมตีจะไม่พิจารณาว่าจำเป็นต้องใช้เมทาดาทา
ข้าว. 6: ตัวอย่างข้อมูลเมตา
ตัวอย่างถูกรวบรวมในรูปแบบ 32 บิต เพื่อให้สามารถทำงานบนทั้งระบบ 32 บิตและ 64 บิต
3. เวกเตอร์การเจาะ
ตัวอย่างที่ดาวน์โหลดและรัน Ryuk เข้าสู่ระบบของเราผ่านการเชื่อมต่อระยะไกล และได้รับพารามิเตอร์การเข้าถึงผ่านการโจมตี RDP เบื้องต้น
ข้าว. 7: ลงทะเบียนการโจมตี
ผู้โจมตีสามารถเข้าสู่ระบบจากระยะไกลได้ หลังจากนั้น เขาได้สร้างไฟล์ปฏิบัติการพร้อมกับตัวอย่างของเรา
ไฟล์ปฏิบัติการนี้ถูกบล็อกโดยโซลูชันป้องกันไวรัสก่อนที่จะทำงาน
ข้าว. 8: ล็อครูปแบบ
ข้าว. 9: ล็อครูปแบบ
เมื่อไฟล์ที่เป็นอันตรายถูกบล็อก ผู้โจมตีจะพยายามดาวน์โหลดไฟล์ปฏิบัติการเวอร์ชันที่เข้ารหัส ซึ่งก็ถูกบล็อกเช่นกัน
ข้าว. 10: ชุดตัวอย่างที่ผู้โจมตีพยายามเรียกใช้
ในที่สุด เขาพยายามดาวน์โหลดไฟล์ที่เป็นอันตรายอื่นผ่านคอนโซลที่เข้ารหัส
PowerShell เพื่อหลีกเลี่ยงการป้องกันไวรัส แต่เขาก็ถูกบล็อกเช่นกัน
ข้าว. 11: PowerShell ที่มีเนื้อหาที่เป็นอันตรายถูกบล็อก
ข้าว. 12: PowerShell ที่มีเนื้อหาที่เป็นอันตรายถูกบล็อก
4. รถตัก
เมื่อดำเนินการ มันจะเขียนไฟล์ ReadMe ลงในโฟลเดอร์ % ชั่วคราว%ซึ่งเป็นเรื่องปกติของริว ไฟล์นี้เป็นบันทึกเรียกค่าไถ่ที่มีที่อยู่อีเมลในโดเมน protonmail ซึ่งพบได้บ่อยในตระกูลมัลแวร์นี้: [ป้องกันอีเมล]
ข้าว. 13: ความต้องการค่าไถ่
ในขณะที่ bootloader กำลังทำงานอยู่ คุณจะเห็นว่ามันเปิดไฟล์ปฏิบัติการหลายไฟล์พร้อมชื่อแบบสุ่ม พวกมันจะถูกเก็บไว้ในโฟลเดอร์ที่ซ่อนอยู่ มหาชนแต่หากตัวเลือกนั้นไม่ได้ใช้งานอยู่ในระบบปฏิบัติการ "แสดงไฟล์และโฟลเดอร์ที่ซ่อนอยู่"แล้วพวกเขาก็จะถูกซ่อนไว้ นอกจากนี้ ไฟล์เหล่านี้เป็น 64 บิต ต่างจากไฟล์หลักซึ่งเป็น 32 บิต
ข้าว. 14: ไฟล์ปฏิบัติการที่เปิดตัวโดยตัวอย่าง
ดังที่คุณเห็นในภาพด้านบน Ryuk เปิดตัว icacls.exe ซึ่งจะใช้ในการแก้ไข ACL ทั้งหมด (รายการควบคุมการเข้าถึง) ดังนั้นจึงรับประกันการเข้าถึงและการแก้ไขแฟล็ก
ผู้ใช้ทุกคนจะสามารถเข้าถึงไฟล์ทั้งหมดบนอุปกรณ์ได้อย่างเต็มที่ (/T) โดยไม่คำนึงถึงข้อผิดพลาด (/C) และไม่แสดงข้อความใดๆ (/Q)
ข้าว. 15: พารามิเตอร์การดำเนินการของ icacls.exe ที่เปิดใช้งานโดยตัวอย่าง
สิ่งสำคัญคือต้องทราบว่า Ryuk จะตรวจสอบเวอร์ชันของ Windows ที่คุณใช้อยู่ สำหรับสิ่งนี้เขา
ทำการตรวจสอบเวอร์ชันโดยใช้ GetVersionExWซึ่งจะตรวจสอบค่าของแฟล็ก lpเวอร์ชันข้อมูลระบุว่า Windows เวอร์ชันปัจจุบันใหม่กว่าหรือไม่ windows XP.
ขึ้นอยู่กับว่าคุณใช้เวอร์ชันที่ใหม่กว่า Windows XP หรือไม่ บูตโหลดเดอร์จะเขียนไปยังโฟลเดอร์ผู้ใช้ในเครื่อง - ในกรณีนี้ไปที่โฟลเดอร์ %สาธารณะ%.
ข้าว. 17: การตรวจสอบเวอร์ชันของระบบปฏิบัติการ
ไฟล์ที่กำลังเขียนคือริว จากนั้นจะรันโดยส่งที่อยู่ของตัวเองเป็นพารามิเตอร์
ข้าว. 18: ดำเนินการ Ryuk ผ่าน ShellExecute
สิ่งแรกที่ Ryuk ทำคือรับพารามิเตอร์อินพุต เวลานี้มีพารามิเตอร์อินพุตสองตัว (ตัวเรียกทำงานเองและที่อยู่หยด) ที่ใช้ในการลบการติดตามของตัวเอง
ข้าว. 19: การสร้างกระบวนการ
นอกจากนี้คุณยังสามารถเห็นได้ว่าเมื่อเรียกใช้โปรแกรมปฏิบัติการแล้ว มันจะลบตัวเอง จึงไม่ทิ้งร่องรอยการมีอยู่ของตัวเองในโฟลเดอร์ที่ถูกเรียกใช้งาน
ข้าว. 20: การลบไฟล์
5. ริวก์
5.1 การแสดงตน
Ryuk ก็เหมือนกับมัลแวร์อื่นๆ ที่พยายามอยู่ในระบบให้นานที่สุด ดังที่แสดงไว้ข้างต้น วิธีหนึ่งในการบรรลุเป้าหมายนี้คือการสร้างและเรียกใช้ไฟล์ปฏิบัติการอย่างเป็นความลับ เมื่อต้องการทำเช่นนี้ แนวทางปฏิบัติทั่วไปที่สุดคือการเปลี่ยนคีย์รีจิสทรี รุ่นปัจจุบันRun.
ในกรณีนี้ คุณจะเห็นว่าเพื่อจุดประสงค์นี้ไฟล์แรกที่จะเปิดตัว VWjRF.exe
(ชื่อไฟล์ถูกสร้างแบบสุ่ม) เปิดตัว cmd.exe.
ข้าว. 21: กำลังดำเนินการ VWjRF.exe
จากนั้นป้อนคำสั่ง วิ่ง ด้วยชื่อ”svcos" ดังนั้น หากคุณต้องการตรวจสอบคีย์รีจิสทรีเมื่อใดก็ได้ คุณอาจพลาดการเปลี่ยนแปลงนี้ได้อย่างง่ายดาย เนื่องจากชื่อนี้มีความคล้ายคลึงกับ svchost ต้องขอบคุณคีย์นี้ที่ทำให้ Ryuk รับประกันว่าจะมีอยู่ในระบบ หากระบบไม่ ยังติดไวรัส จากนั้นเมื่อคุณรีบูทระบบ ไฟล์ปฏิบัติการจะลองอีกครั้ง
ข้าว. 22: ตัวอย่างช่วยให้มั่นใจว่ามีอยู่ในคีย์รีจิสทรี
เรายังเห็นได้ว่าปฏิบัติการนี้หยุดบริการสองอย่าง:
"ตัวสร้างจุดสิ้นสุดเสียง" ซึ่งตามชื่อของมัน สอดคล้องกับเสียงของระบบ
ข้าว. 23: ตัวอย่างหยุดบริการเสียงของระบบ
и สัสซึ่งเป็นบริการจัดการบัญชี การหยุดบริการทั้งสองนี้เป็นคุณลักษณะของริว ในกรณีนี้ หากระบบเชื่อมต่อกับระบบ SIEM แรนซัมแวร์จะพยายามหยุดส่งข้อมูลไป คำเตือนใด ๆ ด้วยวิธีนี้ เขาปกป้องขั้นตอนต่อไปของเขาเนื่องจากบริการ SAM บางอย่างจะไม่สามารถเริ่มงานได้อย่างถูกต้องหลังจากดำเนินการ Ryuk
ข้าว. 24: ตัวอย่างหยุดบริการ Samss
5.2 สิทธิพิเศษ
โดยทั่วไปแล้ว Ryuk เริ่มต้นด้วยการเคลื่อนที่ไปทางด้านข้างภายในเครือข่ายหรือถูกเปิดตัวโดยมัลแวร์อื่นเช่น หรือ ซึ่งในกรณีที่สิทธิพิเศษเพิ่มขึ้น ให้โอนสิทธิ์ที่ยกระดับเหล่านี้ไปยังแรนซัมแวร์
ก่อนหน้านี้เป็นโหมโรงของกระบวนการดำเนินการเราเห็นเขาดำเนินการตามกระบวนการ เลียนแบบตัวเองซึ่งหมายความว่าเนื้อหาความปลอดภัยของโทเค็นการเข้าถึงจะถูกส่งผ่านไปยังสตรีม ซึ่งจะถูกดึงข้อมูลทันทีโดยใช้ รับ CurrentThread.
ข้าว. 25: เรียกตัวเองว่าปลอมตัว
จากนั้นเราจะเห็นว่ามันจะเชื่อมโยงโทเค็นการเข้าถึงกับเธรด เรายังเห็นว่าหนึ่งในธงนั้นคือ การเข้าถึงที่ต้องการซึ่งสามารถใช้เพื่อควบคุมการเข้าถึงที่เธรดจะมีได้ ในกรณีนี้ค่าที่ edx จะได้รับควรเป็น TOKEN_ALL_ACESS หรืออย่างอื่น - TOKEN_เขียน.
ข้าว. 26: การสร้างโทเค็นโฟลว์
แล้วเขาจะใช้. SeDebugPrivilege และจะทำการเรียกเพื่อรับสิทธิ์ Debug บนเธรดส่งผลให้ กระบวนการ_ALL_ACCESSเขาจะสามารถเข้าถึงกระบวนการที่จำเป็นได้ ตอนนี้ เนื่องจากตัวเข้ารหัสมีสตรีมที่เตรียมไว้แล้ว สิ่งที่เหลืออยู่คือดำเนินการในขั้นตอนสุดท้าย
ข้าว. 27: การเรียกฟังก์ชัน SeDebugPrivilege และ Privilege Escalation
ในด้านหนึ่ง เรามี LookupPrivilegeValueW ซึ่งให้ข้อมูลที่จำเป็นเกี่ยวกับสิทธิพิเศษที่เราต้องการเพิ่ม
ข้าว. 28: ขอข้อมูลเกี่ยวกับสิทธิ์ในการยกระดับสิทธิ์
ในทางกลับกันเราก็มี ปรับสิทธิพิเศษ Tokenซึ่งช่วยให้เราได้รับสิทธิ์ที่จำเป็นในการสตรีมของเรา ในกรณีนี้สิ่งที่สำคัญที่สุดคือ นิวสเตทซึ่งธงจะมอบสิทธิพิเศษ
ข้าว. 29: การตั้งค่าการอนุญาตสำหรับโทเค็น
5.3 การนำไปปฏิบัติ
ในส่วนนี้ เราจะแสดงให้เห็นว่าตัวอย่างดำเนินการตามกระบวนการนำไปใช้ตามที่กล่าวไว้ก่อนหน้านี้ในรายงานนี้อย่างไร
เป้าหมายหลักของกระบวนการดำเนินการตลอดจนการยกระดับคือการเข้าถึง สำเนาเงา. เมื่อต้องการทำเช่นนี้ เขาต้องทำงานกับเธรดที่มีสิทธิ์สูงกว่าสิทธิ์ของผู้ใช้ในเครื่อง เมื่อได้รับสิทธิ์ระดับสูงดังกล่าวแล้ว ระบบจะลบสำเนาและทำการเปลี่ยนแปลงกระบวนการอื่น ๆ เพื่อทำให้ไม่สามารถกลับไปยังจุดคืนค่าก่อนหน้าในระบบปฏิบัติการได้
ตามปกติแล้วมัลแวร์ประเภทนี้จะใช้ CreateToolHelp32Snapshotดังนั้นจึงจับภาพกระบวนการที่กำลังทำงานอยู่และพยายามเข้าถึงกระบวนการเหล่านั้นโดยใช้ OpenProcess. เมื่อเข้าถึงกระบวนการได้แล้ว ยังเปิดโทเค็นพร้อมข้อมูลเพื่อรับพารามิเตอร์กระบวนการอีกด้วย
ข้าว. 30: การดึงข้อมูลกระบวนการจากคอมพิวเตอร์
เราสามารถดูแบบไดนามิกว่ามันรับรายการกระบวนการที่ทำงานอยู่ในรูทีน 140002D9C ได้อย่างไรโดยใช้ CreateToolhelp32Snapshot หลังจากได้รับแล้ว เขาจะไปตามรายการ พยายามเปิดกระบวนการทีละรายการโดยใช้ OpenProcess จนกว่าเขาจะสำเร็จ ในกรณีนี้ กระบวนการแรกที่เขาสามารถเปิดได้คือ "taskhost.exe".
ข้าว. 31: ดำเนินการขั้นตอนแบบไดนามิกเพื่อรับกระบวนการ
เราจะเห็นได้ว่ามันจะอ่านข้อมูลโทเค็นกระบวนการในภายหลัง ดังนั้นมันจึงเรียก OpenProcessToken ด้วยพารามิเตอร์ "20008"
ข้าว. 32: อ่านข้อมูลโทเค็นกระบวนการ
นอกจากนี้ยังตรวจสอบด้วยว่ากระบวนการที่มันจะถูกฉีดเข้าไปนั้นไม่ได้ csrss.exe, explorer.exe, lsaas.exe หรือว่าเขามีสิทธิชุดหนึ่ง หน่วยงาน NT.
ข้าว. 33: กระบวนการที่แยกออก
เราสามารถดูว่ามันดำเนินการตรวจสอบอย่างไรในครั้งแรกโดยใช้ข้อมูลโทเค็นกระบวนการ 140002D9C เพื่อดูว่าบัญชีที่มีสิทธิ์ใช้ในการดำเนินการเป็นบัญชีหรือไม่ หน่วยงาน NT.
ข้าว. 34: การตรวจสอบหน่วยงาน NT
และต่อมานอกขั้นตอนเขาก็ตรวจสอบว่าไม่ใช่ csrss.exe, explorer.exe หรือ lsaas.exe.
ข้าว. 35: การตรวจสอบหน่วยงาน NT
เมื่อเขาถ่ายภาพสแน็ปช็อตของกระบวนการ เปิดกระบวนการ และตรวจสอบว่าไม่มีสิ่งใดถูกแยกออก เขาก็พร้อมที่จะเขียนลงในหน่วยความจำของกระบวนการที่จะถูกแทรก
เมื่อต้องการทำเช่นนี้ อันดับแรกจะสงวนพื้นที่ในหน่วยความจำ (VirtualAllocEx) เขียนลงไป (เขียนกระบวนการหน่วยความจำ) และสร้างเธรด (สร้าง RemoteThread). ในการทำงานกับฟังก์ชันเหล่านี้ จะใช้ PID ของกระบวนการที่เลือกซึ่งได้รับมาก่อนหน้านี้ CreateToolhelp32Snapshot.
ข้าว. 36: ฝังโค้ด
ที่นี่เราสามารถสังเกตได้อย่างไดนามิกว่ามันใช้กระบวนการ PID เพื่อเรียกใช้ฟังก์ชันอย่างไร VirtualAllocEx
ข้าว. 37: เรียก VirtualAllocEx
5.4 การเข้ารหัส
ในส่วนนี้ เราจะดูส่วนการเข้ารหัสของตัวอย่างนี้ ในภาพต่อไปนี้ คุณจะเห็นรูทีนย่อยสองรูทีนที่เรียกว่า "LoadLibrary_EncodeString" และ "Encode_Func" ซึ่งมีหน้าที่รับผิดชอบในการดำเนินการตามขั้นตอนการเข้ารหัส
ข้าว. 38: ขั้นตอนการเข้ารหัส
ในตอนเริ่มต้น เราจะเห็นได้ว่ามันโหลดสตริงอย่างไร ซึ่งจะใช้ในภายหลังเพื่อถอดรหัสทุกอย่างที่จำเป็นในภายหลัง เช่น การนำเข้า DLL คำสั่ง ไฟล์ และ CSP
ข้าว. 39: วงจรลดความยุ่งเหยิง
รูปต่อไปนี้แสดงการนำเข้าครั้งแรกที่ถอดรหัสความสับสนในรีจิสเตอร์ R4 โหลดไลบรารี. สิ่งนี้จะถูกใช้ในภายหลังเพื่อโหลด DLL ที่จำเป็น นอกจากนี้เรายังสามารถเห็นบรรทัดอื่นในรีจิสเตอร์ R12 ซึ่งใช้ร่วมกับบรรทัดก่อนหน้าเพื่อดำเนินการลดความยุ่งเหยิง
ข้าว. 40: การถอดรหัสลดความสับสนแบบไดนามิก
ยังคงดาวน์โหลดคำสั่งที่จะเรียกใช้ในภายหลังเพื่อปิดใช้งานการสำรองข้อมูล จุดคืนค่า และโหมดการบูตแบบปลอดภัย
ข้าว. 41: กำลังโหลดคำสั่ง
จากนั้นมันจะโหลดตำแหน่งที่จะดรอปไฟล์ 3 ไฟล์: Windows.bat, run.sct и start.bat.
ข้าว. 42: ตำแหน่งไฟล์
ไฟล์ทั้ง 3 นี้ใช้เพื่อตรวจสอบสิทธิ์ที่แต่ละสถานที่มี หากไม่มีสิทธิ์ที่จำเป็น Ryuk จะหยุดดำเนินการ
มันยังคงโหลดบรรทัดที่สอดคล้องกับไฟล์ทั้งสามไฟล์ อันดับแรก, DECRYPT_INFORMATION.htmlมีข้อมูลที่จำเป็นในการกู้คืนไฟล์ ที่สอง, มหาชนมีคีย์สาธารณะ RSA
ข้าว. 43: บรรทัดถอดรหัส INFORMATION.html
ที่สาม, UNIQUE_ID_DO_NOT_REMOVEมีคีย์เข้ารหัสที่จะใช้ในรูทีนถัดไปเพื่อทำการเข้ารหัส
ข้าว. 44: บรรทัด UNIQUE ID ห้ามลบ
สุดท้ายจะดาวน์โหลดไลบรารีที่จำเป็นพร้อมกับการนำเข้าและ CSP ที่จำเป็น (RSA ที่ปรับปรุงแล้วของ Microsoft и ผู้ให้บริการเข้ารหัส AES).
ข้าว. 45: กำลังโหลดไลบรารี
หลังจากการถอดรหัสลดความสับสนทั้งหมดเสร็จสิ้น ระบบจะดำเนินการดำเนินการที่จำเป็นสำหรับการเข้ารหัส: แจกแจงไดรฟ์ลอจิคัลทั้งหมด ดำเนินการสิ่งที่โหลดในรูทีนก่อนหน้า เพิ่มความแข็งแกร่งให้กับสถานะในระบบ โยนไฟล์ RyukReadMe.html เข้ารหัส แจกแจงไดรฟ์เครือข่ายทั้งหมด เปลี่ยนไปใช้อุปกรณ์ที่ตรวจพบและการเข้ารหัส
ทุกอย่างเริ่มต้นด้วยการโหลด"cmd.exe" และบันทึกคีย์สาธารณะ RSA
ข้าว. 46: กำลังเตรียมการเข้ารหัส
จากนั้นจะใช้งานไดรฟ์แบบลอจิคัลทั้งหมด รับ LogicalDrives และปิดใช้งานการสำรองข้อมูล จุดคืนค่า และโหมดบูตแบบปลอดภัยทั้งหมด
ข้าว. 47: การปิดใช้งานเครื่องมือการกู้คืน
หลังจากนั้นจะเสริมความแข็งแกร่งให้กับสถานะในระบบดังที่เราเห็นข้างต้นและเขียนไฟล์แรก RyukReadMe.html в TEMP.
ข้าว. 48: การเผยแพร่ประกาศเรียกค่าไถ่
ในภาพต่อไปนี้ คุณจะเห็นว่ามันสร้างไฟล์ ดาวน์โหลดเนื้อหา และเขียนมันอย่างไร:
ข้าว. 49: การโหลดและการเขียนเนื้อหาไฟล์
เขาใช้เพื่อให้สามารถดำเนินการแบบเดียวกันบนอุปกรณ์ทั้งหมดได้
"icacls.exe"ดังที่เราแสดงไว้ข้างต้น
ข้าว. 50: การใช้ icalcls.exe
และสุดท้าย มันเริ่มเข้ารหัสไฟล์ยกเว้นไฟล์ “*.exe”, “*.dll” ไฟล์ระบบ และตำแหน่งอื่นๆ ที่ระบุในรูปแบบของรายการสีขาวที่เข้ารหัส เมื่อต้องการทำเช่นนี้ จะใช้การนำเข้า: CryptAcquireContextW (เมื่อมีการระบุการใช้ AES และ RSA) CryptDeriveKey, CryptGenKey, CryptDestroyKey ฯลฯ นอกจากนี้ยังพยายามขยายการเข้าถึงไปยังอุปกรณ์เครือข่ายที่ค้นพบโดยใช้ WNetEnumResourceW แล้วเข้ารหัสอุปกรณ์เหล่านั้น
ข้าว. 51: การเข้ารหัสไฟล์ระบบ
6. การนำเข้าและธงที่เกี่ยวข้อง
ด้านล่างนี้คือตารางแสดงรายการการนำเข้าและแฟล็กที่เกี่ยวข้องมากที่สุดซึ่งใช้โดยตัวอย่าง:
7. ไอโอซี
การอ้างอิง
- usersPublicrun.sct
- เมนูเริ่มโปรแกรมStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- เมนูโปรแกรมStartupstart.bat
รายงานทางเทคนิคเกี่ยวกับแรนซั่มแวร์ Ryuk รวบรวมโดยผู้เชี่ยวชาญจาก PandaLabs ซึ่งเป็นห้องปฏิบัติการป้องกันไวรัส
8. ลิงค์
1. “วิทยุ Everis y Prisa sufren un grave ciberataque que secuestra sus sistemas”https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada ที่ 04/11/2019
2. “ไวรัสต้นกำเนิด ruso ataca สิ่งสำคัญ empresas españolas” https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_ 251312.html, Publicada el 04/11/2019
3. “รายงาน VB2019: การแก้แค้นของ Shinigami: หางยาวของมัลแวร์ Ryuk” https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. “เกมล่าครั้งใหญ่ด้วย Ryuk: แรนซัมแวร์ที่กำหนดเป้าหมายผลกำไรอีกตัว”https://www. Crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/, Publicada เมื่อวันที่ 10/01/2019
5. “รายงาน VB2019: การแก้แค้นของ Shinigami: หางยาวของมัลแวร์ Ryuk” https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
ที่มา: will.com