باج‌افزار Ryuk

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

باج‌افزار Ryuk
q855
باج‌افزار جدیدی با نام Ryuk در حال انتشار است که طبق گزارش‌ها، مهاجمان توانسته‌اند بیش از ۶۴۰ هزار دلار بصورت ارز بیت‌کوین را با استفاده از آن بدست آورند. حملات این باج‌افزار برای اولین بار در روز دوشنبه ۲۲ مرداد ماه، مشاهده شده است.
بنظر می‌رسد که باج‌افزار شرکت‌های بخصوصی را مورد هدف قرار داده است اما نحوه انتشار آن نامعلوم است. پژوهشگران حدس می‎زنند که باج‌افزار از طریق ایمیل‌های فیشینگ یا اتصالات RDP (پروتکل اتصال به دسکتاپ از راه دور) ضعیف گسترش یافته باشد.
در ۳۰ مرداد ، یک شرکت امنیت سایبری در گزارشی اعلام کرد که باج‌افزار Ryuk به نوعی با باج‌افزار Hermes در ارتباط است. بنظر می‌رسد که نویسندگان این دو باج‌افزار یکی باشند و یا نویسنده Ryuk به کد منبع Hermes دسترسی پیدا کرده باشد. پیش از این مشخص شد که باج‌افزار Hermes در ارتباط با گروه مجرمین سایبری Lazarus است. نسخه‌های مختلف Hermes در گذشته منتشر شده‌اند که نسخه اولیه آن در فوریه ۲۰۱۷ و نسخه ۲,۱ آن در نوامبر ۲۰۱۷ مشاهده شده و نسخه آخر Hermes نیز موازی با Ryuk در حال انجام فعالیت است. تفاوت این دو باج‌افزار در اهداف آن است که Hermes بصورت گسترده منتشر شده اما Ryuk اهداف از پیش انتخاب شده را مورد حمله قرار داده است.
نسخه‌های ۳۲ بیتی و ۶۴ بیتی باج‌افزار Ryuk کشف شده‌اند و این امر نشان می‌دهد که این بدافزار قابلیت آلوده‌سازی تمامی سیستم‌ها را دارا است. شباهت‌های موجود در کدهای این باج‌افزار و Hermes در هر دو نسخه قابل مشاهده است. این باج‌افزار دارای قابلیت‌هایی است که می‌تواند بیش از ۴۰ فرایند پردازشی و ۱۸۰ سرویس را با دستور taskkill متوقف کند. لیست سرویس‌ها و فرایندهای پردازشی در یک لیست از پیش تعیین شده‌اند.
نکته قابل توجه در این باج‌افزار، پیام باج آن است که در سیستم‌های مختلف پیام‌های باج مختلفی قرار داده شده است. بنظر می‌رسد که باج‌افزار با توجه به شناسایی قابلیت پرداخت هدف مورد نظر، پیام‌های مختلفی برای دریافت مقادیر متفاوت درخواست می‌کند.
q856

q857

متاسفانه با توجه به استفاده ترکیبی از الگوریتم‌‎های AES و RSA در این باج‌افزار، در حال حاضر امکان رمزگشایی فایل‌های آلوده شده توسط آن وجود ندارد.


منبع: 

 https://www.bleepingcomputer.com/news/security/ryuk-ransomware-crew-makes-۶۴۰-۰۰۰-in-recent-activity-surge