悪名高いRyukランサムウェアが重要な更新を受け取りました, 新しい仕事のような機能を装備する. この機能により、ランサムウェアが侵害されたネットワーク全体に広がる可能性があります, それをさらに危険なものにします.
新しいワームのような機能で更新されたRyukランサムウェア
Ryukランサムウェアの運用は、経済的な成功という点で最も成功したキャンペーンの1つです。. その背後にあるサイバー犯罪者は $150 身代金の支払いからのビットコインの百万, 主に世界中の組織によって作られています.
ランサムウェアの新しい悪意のある機能は ANSSIによって発掘された. 「ワームのような機能を備えたRyukサンプルは、感染したネットワーク内で自動的に拡散します。,2021年初頭にANSSIによって処理されたインシデント対応中に発見されました」と研究者は共有しています.
レポートはまた、ランサムウェアがアクティブなままであることを警告しています, パンデミック時に病院を標的にする. リュークは他の組織も標的にすることが知られています, そのような ジョージアの法廷制度.
Ryukのランサムウェア機能
ランサムウェアには、データ暗号化モジュールの2つのバージョンのうちの1つをドロップするドロッパーが含まれています (32- または64ビット) ターゲットシステム上. それで, スポイトはペイロードを実行します. 少し間を置いた後, ランサムウェアは以上に停止します 40 プロセスと 180 サービス, 特にウイルス対策ソフトウェアに関連するもの, データベース, およびバックアップ, ANSSIは警告します. 永続性は、レジストリキーの作成によって実現されます.
暗号化に関して, リュークは対称の組み合わせを使用しています (AES) 非対称 (RSA) 暗号化アルゴリズム. この組み合わせは、ファイルを暗号化するだけでなく、暗号化キーも保護します, 第三者がデータを復号化することを不可能にする.
過去のキャンペーンでのRyukランサムウェア
Ryukの以前のアップデートの1つには、 IPブラックリスト機能. この機能により、特定のIPアドレス文字列の「arp–a」パラメータの出力を確認できました。.
これらの文字列が見つかった場合, ランサムウェアはそのコンピューター上のファイルを暗号化しません. 受け取ったファイル .RYK拡張 二次的なものとして, 暗号化されたファイルの元の名前に変更を加えることなく.