Ryuk jẹ ọkan ninu awọn aṣayan ransomware olokiki julọ ni awọn ọdun diẹ sẹhin. Niwon igba akọkọ ti o han ni igba ooru ti 2018, o ti gba , paapaa ni agbegbe iṣowo, eyiti o jẹ ibi-afẹde akọkọ ti awọn ikọlu rẹ.
1. Gbogbogbo alaye
Iwe yii ni itupalẹ ti iyatọ Ryuk ransomware, bakanna bi agberu ti o ni iduro fun ikojọpọ malware sinu eto naa.
Ryuk ransomware akọkọ han ni igba ooru ti ọdun 2018. Ọkan ninu awọn iyatọ laarin Ryuk ati ransomware miiran ni pe o ni ifọkansi lati kọlu awọn agbegbe ile-iṣẹ.
Ni aarin-2019, awọn ẹgbẹ cybercriminal kọlu nọmba nla ti awọn ile-iṣẹ Spani ni lilo ransomware yii.
Iresi. 1: Ayọkuro lati El Confidencial nipa ikọlu ransomware Ryuk [1]
Iresi. 2: Ayọkuro lati El País nipa ikọlu ti a ṣe ni lilo Ryuk ransomware [2]
Ni ọdun yii, Ryuk ti kọlu nọmba nla ti awọn ile-iṣẹ ni awọn orilẹ-ede pupọ. Gẹgẹbi o ti le rii ninu awọn isiro ni isalẹ, Germany, China, Algeria ati India ni ikọlu ti o nira julọ.
Nipa ifiwera nọmba ti awọn ikọlu cyber, a le rii pe Ryuk ti kan awọn miliọnu awọn olumulo ati gbogun iye nla ti data, ti o fa ipadanu eto-ọrọ aje nla.
Iresi. 3: Apejuwe ti Ryuk ká agbaye aṣayan iṣẹ-ṣiṣe.
Iresi. 4: Awọn orilẹ-ede 16 ti o ni ipa julọ nipasẹ Ryuk
Iresi. 5: Nọmba awọn olumulo ti o kọlu nipasẹ Ryuk ransomware (ni awọn miliọnu)
Gẹgẹbi ilana iṣiṣẹ deede ti iru awọn irokeke, ransomware yii, lẹhin fifi ẹnọ kọ nkan ti pari, fihan olufaragba ifitonileti irapada ti o gbọdọ san ni awọn bitcoins si adirẹsi ti a ti sọ tẹlẹ lati mu pada wiwọle si awọn faili ti paroko.
malware yii ti yipada lati igba akọkọ ti o ti ṣafihan.
Iyatọ ti irokeke ewu yii ti a ṣe atupale ninu iwe yii ni a ṣe awari lakoko igbiyanju ikọlu ni Oṣu Kini ọdun 2020.
Nitori idiju rẹ, malware yii nigbagbogbo jẹ ika si awọn ẹgbẹ cybercriminal ti a ṣeto, ti a tun mọ ni awọn ẹgbẹ APT.
Apakan koodu Ryuk ni ibajọra ti o ṣe akiyesi si koodu ati eto ti ransomware miiran ti a mọ daradara, Hermes, pẹlu eyiti wọn pin nọmba awọn iṣẹ kanna. Eyi ni idi ti Ryuk ni akọkọ ti sopọ mọ ẹgbẹ North Korean Lazarus, eyiti a fura si pe o wa lẹhin Hermes ransomware.
Iṣẹ CrowdStrike's Falcon X ṣe akiyesi lẹhinna pe Ryuk ni otitọ ti ṣẹda nipasẹ ẹgbẹ WIZARD SPIDER [4].
Awọn ẹri diẹ wa lati ṣe atilẹyin arosinu yii. Ni akọkọ, a ṣe ipolowo ransomware yii lori oju opo wẹẹbu exploit.in, eyiti o jẹ ibi-ọja malware ti Russia ti a mọ daradara ati pe o ti ni nkan ṣe pẹlu diẹ ninu awọn ẹgbẹ APT Russia tẹlẹ.
Otitọ yii ṣe ilana ilana ti Ryuk le ti ni idagbasoke nipasẹ ẹgbẹ APT Lasaru, nitori ko ni ibamu pẹlu ọna ti ẹgbẹ naa nṣiṣẹ.
Ni afikun, Ryuk ti ṣe ipolowo bi ransomware ti kii yoo ṣiṣẹ lori awọn eto Russian, Ukrainian ati Belarusian. Iwa yii jẹ ipinnu nipasẹ ẹya ti a rii ni diẹ ninu awọn ẹya ti Ryuk, nibiti o ti ṣayẹwo ede ti eto lori eyiti ransomware ti n ṣiṣẹ ati da duro lati ṣiṣẹ ti eto naa ba ni ede Russian, Yukirenia tabi Belarusian. Nikẹhin, itupalẹ iwé ti ẹrọ ti o ti gepa nipasẹ ẹgbẹ WIZARD SPIDER ṣe afihan ọpọlọpọ “awọn ohun-ọṣọ” ti a fi ẹsun kan lo ninu idagbasoke Ryuk gẹgẹbi iyatọ ti Hermes ransomware.
Ni apa keji, awọn amoye Gabriela Nicolao ati Luciano Martins daba pe ransomware le ti ni idagbasoke nipasẹ ẹgbẹ APT CryptoTech [5].
Eyi tẹle lati otitọ pe ọpọlọpọ awọn oṣu ṣaaju ifarahan Ryuk, ẹgbẹ yii fi alaye ranṣẹ lori apejọ ti aaye kanna ti wọn ti ṣe agbekalẹ ẹya tuntun ti Hermes ransomware.
Ọpọlọpọ awọn olumulo apejọ beere boya CryptoTech da Ryuk gangan. Ẹgbẹ naa daabobo ararẹ ati sọ pe o ni ẹri pe wọn ti ni idagbasoke 100% ti ransomware.
2. Awọn abuda
A bẹrẹ pẹlu bootloader, ẹniti iṣẹ rẹ ni lati ṣe idanimọ eto ti o wa lori ki ẹya “ti o tọ” ti Ryuk ransomware le ṣe ifilọlẹ.
Hash bootloader jẹ bi atẹle:
MD5 A73130B0E379A989CBA3D695A157A495
SHA256 EF231EE1A2481B7E627921468E79BB4369CCFAEB19A575748DD2B664ABC4F469
Ọkan ninu awọn ẹya ti olugbasilẹ yii ni pe ko ni eyikeyi metadata ninu, i.e. Awọn olupilẹṣẹ malware yii ko ti ṣafikun alaye eyikeyi ninu rẹ.
Nigba miiran wọn pẹlu data aṣiṣe lati tan olumulo sinu ero pe wọn nṣiṣẹ ohun elo to tọ. Sibẹsibẹ, bi a ti rii nigbamii, ti akoran ko ba kan ibaraenisepo olumulo (gẹgẹbi ọran pẹlu ransomware yii), lẹhinna awọn ikọlu ko ro pe o ṣe pataki lati lo metadata.
Iresi. 6: Ayẹwo Meta Data
A ṣe akojọpọ apẹẹrẹ ni ọna kika 32-bit ki o le ṣiṣẹ lori awọn ọna ṣiṣe 32-bit ati 64-bit mejeeji.
3. fekito ilaluja
Apeere ti o ṣe igbasilẹ ati ṣiṣe Ryuk wọ eto wa nipasẹ asopọ latọna jijin, ati pe awọn aye iwọle ni a gba nipasẹ ikọlu RDP alakoko.
Iresi. 7: Iforukọsilẹ ikọlu
Olukọni naa ṣakoso lati wọle sinu eto latọna jijin. Lẹhin iyẹn, o ṣẹda faili ti o ṣiṣẹ pẹlu apẹẹrẹ wa.
Faili ti o le ṣiṣẹ yii ti dinamọ nipasẹ ojutu antivirus kan ṣaaju ṣiṣe.
Iresi. 8: Titiipa apẹrẹ
Iresi. 9: Titiipa apẹrẹ
Nigbati faili irira naa ti dina, olukolu gbiyanju lati ṣe igbasilẹ ẹya fifi ẹnọ kọ nkan ti faili ti o ṣiṣẹ, eyiti o tun dina.
Iresi. 10: Ṣeto awọn ayẹwo ti olutayo gbiyanju lati ṣiṣe
Nikẹhin, o gbiyanju lati ṣe igbasilẹ faili irira miiran nipasẹ console ti paroko
PowerShell lati fori aabo antivirus. Ṣugbọn o tun dina.
Iresi. 11: PowerShell pẹlu akoonu irira dina
Iresi. 12: PowerShell pẹlu akoonu irira dina
4. Agberu
Nigbati o ba ṣiṣẹ, o kọ faili ReadMe si folda naa % iwa afẹfẹ aye%, eyi ti o jẹ aṣoju fun Ryuk. Faili yii jẹ akọsilẹ irapada ti o ni adirẹsi imeeli ninu aaye protonmail, eyiti o wọpọ ni idile malware yii: [imeeli ni idaabobo]
Iresi. 13: Ìràpadà eletan
Lakoko ti bootloader nṣiṣẹ, o le rii pe o ṣe ifilọlẹ ọpọlọpọ awọn faili ṣiṣe pẹlu awọn orukọ laileto. Wọn ti wa ni ipamọ sinu folda ti o farapamọ OBARA, ṣugbọn ti aṣayan ko ba ṣiṣẹ ninu ẹrọ ṣiṣe "Fihan awọn faili ti o farapamọ ati awọn folda", lẹhinna wọn yoo wa ni pamọ. Pẹlupẹlu, awọn faili wọnyi jẹ 64-bit, ko dabi faili obi, eyiti o jẹ 32-bit.
Iresi. 14: Executable awọn faili se igbekale nipasẹ awọn ayẹwo
Gẹgẹbi o ti le rii ninu aworan ti o wa loke, Ryuk ṣe ifilọlẹ iacls.exe, eyiti yoo ṣee lo lati yipada gbogbo ACLs (awọn atokọ iṣakoso Wiwọle), nitorinaa rii daju iwọle ati iyipada awọn asia.
O gba wiwọle ni kikun labẹ gbogbo awọn olumulo si gbogbo awọn faili lori ẹrọ (/ T) laiwo ti awọn aṣiṣe (/ C) ati lai fi eyikeyi awọn ifiranṣẹ (/ Q).
Iresi. 15: Awọn aye ipaniyan ti iacls.exe ṣe ifilọlẹ nipasẹ apẹẹrẹ
O ṣe pataki lati ṣe akiyesi pe Ryuk ṣayẹwo iru ẹya Windows ti o nṣiṣẹ. Fun eyi o
ṣe ayẹwo ẹya nipa lilo GetVersionExW, ninu eyiti o ṣayẹwo iye ti asia Alaye lpVersionnfihan boya ẹya ti isiyi ti Windows jẹ tuntun ju Windows XP.
Ti o da lori boya o nṣiṣẹ ẹya nigbamii ju Windows XP, agberu bata yoo kọ si folda olumulo agbegbe - ninu ọran yii si folda naa. % Gbangba%.
Iresi. 17: Ṣiṣayẹwo ẹya ẹrọ ṣiṣe
Faili ti a kọ jẹ Ryuk. Lẹhinna o ṣiṣẹ, ti o kọja adirẹsi tirẹ bi paramita kan.
Iresi. 18: Ṣiṣẹ Ryuk nipasẹ ShellExecute
Ohun akọkọ ti Ryuk ṣe ni gbigba awọn aye titẹ sii. Ni akoko yii awọn paramita titẹ sii meji wa (ti o le ṣiṣẹ funrararẹ ati adirẹsi dropper) ti a lo lati yọ awọn itọpa tirẹ kuro.
Iresi. 19: Ṣiṣẹda Ilana kan
O tun le rii pe ni kete ti o ba ti ṣiṣẹ awọn iṣẹ ṣiṣe rẹ, o parẹ funrararẹ, nitorinaa ko fi itọpa ti wiwa tirẹ silẹ ninu folda nibiti o ti ṣiṣẹ.
Iresi. 20: Pipaarẹ faili kan
5. RYUK
5.1 Iwaju
Ryuk, bii malware miiran, gbiyanju lati duro lori eto naa niwọn igba ti o ba ṣeeṣe. Gẹgẹbi a ti han loke, ọna kan lati ṣaṣeyọri ibi-afẹde yii ni lati ṣẹda ni ikoko ati ṣiṣe awọn faili ṣiṣe. Lati ṣe eyi, ilana ti o wọpọ julọ ni lati yi bọtini iforukọsilẹ pada CurrentVersionRun.
Ni idi eyi, o le rii pe fun idi eyi faili akọkọ lati ṣe ifilọlẹ VWjRF.exe
(orukọ faili ti wa ni ipilẹṣẹ laileto) awọn ifilọlẹ cmd.exe.
Iresi. 21: Ṣiṣe VWjRF.exe
Lẹhinna tẹ aṣẹ sii RUN Pẹlu orukọ "svchos". Bayi, ti o ba ti o ba fẹ lati ṣayẹwo awọn iforukọsilẹ bọtini ni eyikeyi akoko, o le ni rọọrun padanu yi ayipada, fi fun awọn ibajọra ti yi orukọ pẹlu svchost. O ṣeun si yi bọtini, Ryuk idaniloju awọn oniwe-niwaju ninu awọn eto. Ti o ba ti awọn eto ni o ni ko. sibẹsibẹ a ti ni akoran , lẹhinna nigbati o ba tun atunbere eto naa, ṣiṣe yoo gbiyanju lẹẹkansi.
Iresi. 22: Ayẹwo ṣe idaniloju wiwa ni bọtini iforukọsilẹ
A tun le rii pe iṣẹ ṣiṣe yii da awọn iṣẹ meji duro:
"audioendpointbuilder", eyiti, gẹgẹbi orukọ rẹ ṣe daba, ni ibamu si ohun eto,
Iresi. 23: Ayẹwo duro iṣẹ ohun afetigbọ eto
и Samss, eyiti o jẹ iṣẹ iṣakoso akọọlẹ kan. Idaduro awọn iṣẹ meji wọnyi jẹ ẹya ti Ryuk. Ni idi eyi, ti eto naa ba ni asopọ si eto SIEM, ransomware gbìyànjú lati da fifiranṣẹ si eyikeyi ikilo. Ni ọna yii, o ṣe aabo awọn igbesẹ atẹle rẹ nitori diẹ ninu awọn iṣẹ SAM kii yoo ni anfani lati bẹrẹ iṣẹ wọn ni deede lẹhin ṣiṣe Ryuk.
Iresi. 24: Ayẹwo duro iṣẹ Samss
5.2 Awọn anfani
Ni gbogbogbo, Ryuk bẹrẹ nipasẹ gbigbe ni ita laarin nẹtiwọọki tabi o ṣe ifilọlẹ nipasẹ malware miiran gẹgẹbi tabi , eyiti, ni iṣẹlẹ ti ilọsiwaju anfani, gbe awọn ẹtọ giga wọnyi si ransomware.
Ni iṣaaju, bi iṣaaju si ilana imuse, a rii pe o ṣe ilana naa Afarawe Ara-ẹni, eyi ti o tumọ si pe awọn akoonu aabo ti ami wiwọle yoo kọja si ṣiṣan, nibiti yoo ti gba pada lẹsẹkẹsẹ nipa lilo GetCurrentThread.
Iresi. 25: Pe ImpersonateSelf
Lẹhinna a rii pe yoo so ami-ọna wiwọle pọ mọ okun. A tun rii pe ọkan ninu awọn asia jẹ Wiwọle ti o fẹ, eyi ti o le ṣee lo lati ṣakoso awọn wiwọle ti o tẹle ara yoo ni. Ni idi eyi iye ti edx yoo gba yẹ ki o jẹ TOKEN_ALL_ACESS tabi bibẹkọ - TOKEN_WRITE.
Iresi. 26: Ṣiṣẹda a Flow Tokini
Lẹhinna o yoo lo SeDebugPrivilege ati pe yoo ṣe ipe lati gba awọn igbanilaaye yokokoro lori o tẹle ara, Abajade ni PROCESS_ALL_ACCESS, oun yoo ni anfani lati wọle si eyikeyi ilana ti a beere. Ni bayi, fun pe encryptor tẹlẹ ti ni ṣiṣan ti a pese silẹ, gbogbo ohun ti o ku ni lati tẹsiwaju si ipele ikẹhin.
Iresi. 27: Npe SeDebugPrivilege ati Iṣẹ Escalation Anfani
Ni ọwọ kan, a ni LookupPrivilegeValueW, eyiti o fun wa ni alaye pataki nipa awọn anfani ti a fẹ lati pọ si.
Iresi. 28: Beere alaye nipa awọn anfani fun igbega anfani
Ni apa keji, a ni AdjustToken Awọn anfani, eyiti o fun wa laaye lati gba awọn ẹtọ to wulo si ṣiṣan wa. Ni idi eyi, ohun pataki julọ ni NewState, tí àsíá rẹ̀ yóò fúnni ní àwọn àǹfààní.
Iresi. 29: Eto soke awọn igbanilaaye fun a àmi
5.3 imuse
Ni apakan yii, a yoo fihan bi apẹẹrẹ ṣe n ṣe ilana imuse ti a mẹnuba tẹlẹ ninu ijabọ yii.
Ibi-afẹde akọkọ ti ilana imuse, bakanna bi ilọsiwaju, ni lati ni iraye si ojiji idaako. Lati ṣe eyi, o nilo lati ṣiṣẹ pẹlu okun pẹlu awọn ẹtọ ti o ga ju ti olumulo agbegbe lọ. Ni kete ti o ba ni iru awọn ẹtọ ti o ga, yoo paarẹ awọn ẹda ati ṣe awọn ayipada si awọn ilana miiran lati jẹ ki ko ṣee ṣe lati pada si aaye imupadabọ iṣaaju ninu ẹrọ ṣiṣe.
Gẹgẹbi aṣoju pẹlu iru malware yii, o nlo CreateToolHelp32Snaphotnitorinaa o gba aworan ti awọn ilana ṣiṣe lọwọlọwọ ati gbiyanju lati wọle si awọn ilana wọnyẹn nipa lilo Ṣiṣii Ilana. Ni kete ti o ba ni iraye si ilana naa, o tun ṣii aami kan pẹlu alaye rẹ lati gba awọn aye ilana.
Iresi. 30: Gbigba awọn ilana lati kọmputa kan
A le rii lainidi bi o ṣe n gba atokọ ti awọn ilana ṣiṣe ni ṣiṣe deede 140002D9C ni lilo CreateToolhelp32Snapshot. Lẹhin gbigba wọn, o lọ nipasẹ atokọ naa, gbiyanju lati ṣii awọn ilana ọkan nipasẹ ọkan nipa lilo OpenProcess titi o fi ṣaṣeyọri. Ni idi eyi, ilana akọkọ ti o ni anfani lati ṣii ni "taskhost.exe".
Iresi. 31: Yiyiyi Ṣiṣe Ilana kan lati Gba Ilana kan
A le rii pe lẹhinna ka alaye ami ilana ilana, nitorinaa o pe ṢiiProcessToken pẹlu paramita"20008"
Iresi. 32: Ka ilana àmi alaye
O tun sọwedowo wipe awọn ilana ti o yoo wa ni itasi sinu ni ko csrss.exe, explorer.exe, lsaas.exe tabi pe o ni eto awọn ẹtọ NT aṣẹ.
Iresi. 33: Awọn ilana ti o yọkuro
A le ni agbara wo bi o ṣe n ṣe ayẹwo ni akọkọ nipa lilo alaye ami ilana ninu 140002D9C Lati le rii boya akọọlẹ ti awọn ẹtọ rẹ n lo lati ṣiṣẹ ilana jẹ akọọlẹ kan NT ašẹ.
Iresi. 34: NT ašẹ ayẹwo
Ati nigbamii, ni ita ilana, o ṣayẹwo pe eyi kii ṣe csrss.exe, explorer.exe tabi lsaas.exe.
Iresi. 35: NT ašẹ ayẹwo
Ni kete ti o ti ya aworan ti awọn ilana, ṣii awọn ilana, ati rii daju pe ko si ọkan ninu wọn ti o yọkuro, o ti ṣetan lati kọ si iranti awọn ilana ti yoo fi itọsi.
Lati ṣe eyi, akọkọ ni ipamọ agbegbe ni iranti (VirtualAllocEx), kọ sinu rẹ (Kọ Processmemory) o si ṣẹda okun (ṢẹdaThreadRemote). Lati ṣiṣẹ pẹlu awọn iṣẹ wọnyi, o nlo awọn PID ti awọn ilana ti o yan, eyiti o ti gba tẹlẹ nipa lilo CreateToolhelp32Aworan.
Iresi. 36: koodu ifibọ
Nibi a le ṣe akiyesi ni agbara bi o ṣe nlo ilana PID lati pe iṣẹ naa VirtualAllocEx.
Iresi. 37: Pe VirtualAllocEx
5.4 ìsekóòdù
Ni apakan yii, a yoo wo apakan fifi ẹnọ kọ nkan ti apẹẹrẹ yii. Ni aworan atẹle o le wo awọn subroutines meji ti a pe ni "LoadLibrary_EncodeString"Ati"Encode_Func", eyiti o jẹ iduro fun ṣiṣe ilana fifi ẹnọ kọ nkan.
Iresi. 38: ìsekóòdù ilana
Ni ibẹrẹ a le rii bi o ṣe n gbe okun kan ti yoo lo nigbamii lati deobfuscate ohun gbogbo ti o nilo: awọn agbewọle lati ilu okeere, awọn DLL, awọn aṣẹ, awọn faili ati awọn CSP.
Iresi. 39: Deobfuscation Circuit
Nọmba atẹle yii fihan agbewọle akọkọ ti o deobfuscates ni iforukọsilẹ R4. Ikawe LoadLibrary. Eyi yoo ṣee lo nigbamii lati kojọpọ awọn DLL ti a beere. A tun le rii laini miiran ni iforukọsilẹ R12, eyiti o lo pẹlu laini iṣaaju lati ṣe deobfuscation.
Iresi. 40: Yiyi deobfuscation
O tẹsiwaju lati ṣe igbasilẹ awọn aṣẹ ti yoo ṣiṣẹ nigbamii lati mu awọn afẹyinti mu, mu pada awọn aaye, ati awọn ipo bata ailewu.
Iresi. 41: Awọn aṣẹ ikojọpọ
Lẹhinna o gbe ipo ibi ti yoo ju awọn faili 3 silẹ: Windows.bat, run.sct и bẹrẹ.bat.
Iresi. 42: Awọn ipo faili
Awọn faili 3 wọnyi ni a lo lati ṣayẹwo awọn anfani ti ipo kọọkan ni. Ti awọn anfani ti a beere ko ba si, Ryuk da ipaniyan duro.
O tesiwaju lati fifuye awọn ila ti o baamu awọn faili mẹta naa. Akoko, DECRYPT_INFORMATION.html, ni alaye pataki lati gba awọn faili pada. Èkejì, OBARA, ni awọn RSA àkọsílẹ bọtini.
Iresi. 43: Line DECRYPT ALAYE.html
Ẹkẹta, UNIQUE_ID_KO_YỌ, ni bọtini fifi ẹnọ kọ nkan ti yoo ṣee lo ni ilana ṣiṣe atẹle lati ṣe fifi ẹnọ kọ nkan naa.
Iresi. 44: ID ID alailẹgbẹ laini MA yọ kuro
Nikẹhin, o ṣe igbasilẹ awọn ile-ikawe ti o nilo pẹlu awọn agbewọle ti o nilo ati awọn CSP (Microsoft Imudara RSA и AES Cryptographic Olupese).
Iresi. 45: ikojọpọ ikawe
Lẹhin gbogbo deobfuscation ti pari, o tẹsiwaju lati ṣe awọn iṣe ti o nilo fun fifi ẹnọ kọ nkan: ṣiṣe iṣiro gbogbo awọn awakọ ọgbọn, ṣiṣe ohun ti o ti kojọpọ ni ilana iṣaaju, mimu wiwa wa ninu eto, jiju faili RyukReadMe.html, fifi ẹnọ kọ nkan, kika gbogbo awọn awakọ nẹtiwọọki. , iyipada si awọn ẹrọ ti a rii ati fifi ẹnọ kọ nkan wọn.
Gbogbo rẹ bẹrẹ pẹlu ikojọpọ”cmd.exe"ati awọn igbasilẹ bọtini gbangba RSA.
Iresi. 46: Ngbaradi fun ìsekóòdù
Lẹhinna o gba gbogbo awọn awakọ ọgbọn nipa lilo GbaLogicalDrives ati ki o mu gbogbo awọn afẹyinti pada, awọn aaye pada ati awọn ipo bata ailewu.
Iresi. 47: Deactivating imularada irinṣẹ
Lẹhin iyẹn, o ṣe okunkun wiwa rẹ ninu eto, bi a ti rii loke, ati kọ faili akọkọ RyukReadMe.html в IDANWO.
Iresi. 48: Tita akiyesi irapada
Ninu aworan atẹle o le wo bii o ṣe ṣẹda faili, ṣe igbasilẹ akoonu ati kọ:
Iresi. 49: Ikojọpọ ati kikọ awọn akoonu faili
Lati le ṣe awọn iṣe kanna lori gbogbo awọn ẹrọ, o lo
"icacls.exe", bi a ti fihan loke.
Iresi. 50: Lilo icalcls.exe
Ati nikẹhin, o bẹrẹ fifipamọ awọn faili ayafi fun awọn faili "* .exe", "* .dll", awọn faili eto ati awọn ipo miiran ti o pato ni irisi akojọ funfun ti paroko. Lati ṣe eyi, o nlo awọn agbewọle lati ilu okeere: CryptAcquireContextW (nibiti lilo AES ati RSA ti wa ni pato), CryptDeriveKey, CryptGenKey, CryptDestroyKey ati be be lo. O tun gbiyanju lati faagun arọwọto rẹ si awọn ẹrọ nẹtiwọọki ti a ṣe awari nipa lilo WNetEnumResourceW ati lẹhinna encrypt wọn.
Iresi. 51: Encrypting awọn faili eto
6. Awọn agbewọle wọle ati awọn asia ti o baamu
Ni isalẹ ni atokọ tabili ti o ni ibamu julọ awọn agbewọle ati awọn asia ti a lo nipasẹ apẹẹrẹ:
7. IOC
jo
- awọn olumuloPublicrun.sct
- Bẹrẹ MenuProgramsStartupstart.bat AppDataRoamingMicrosoftWindowsStart
- MenuProgramsStartupstart.bat
Ijabọ imọ-ẹrọ lori Ryuk ransomware ni a ṣe akojọpọ nipasẹ awọn amoye lati ile-iṣẹ ọlọjẹ PandaLabs.
8. Awọn ọna asopọ
1. "Everis y Prisa Radio sufren un grave ciberataque que secuestra sus sistemas."https://www. elconfidencial.com/tecnologia/2019-11-04/everis-la-ser-ciberataque-ransomware-15_2312019/, Publicada el 04/11/2019.
2. "Un virus de origen ruso ataca a importantes empresas españolas." https: //elpais.com/tecnologia/2019/11/04/actualidad/1572897654_251312.html, Publicada el 04/11/2019.
3. "VB2019 iwe: igbẹsan Shinigami: iru gigun ti Ryuk malware." https://securelist.com/story-of-the-year-2019-cities-under-ransomware-siege/95456/, Publicada el 11 /12/2019
4. "Ńlá Game Sode pẹlu Ryuk: Miiran LucrativebTargeted Ransomware."https://www. crowdstrike.com/blog/big-game-hunting-with-ryuk-other-lucrative- targetted-ransomware/, Publicada el 10/01/2019.
5. "VB2019 iwe: Shinigami ká gbẹsan: awọn gun iru ti Ryuk malware." https://www. virusbulletin.com/virusbulletin/2019/10/ vb2019-paper-shinigamis-revenge-long-tail-r
orisun: www.habr.com