У Китаї поширюється новий вірус-вимагач Ryuk

Author Igor Reading 2 min Views 43 Published by пʼятниця липня 19th, 2019

Вірус-вимагач під назвою Ryuk поширюється в Китаї і вимагає у користувачів заражених пристроїв виплатити велику суму в BTC.

Tencent Security провела вивчення вірусу Ryuk і виявила, що він шифрує дані на зараженому пристрої і вимагає викуп у BTC. Викуп, як правило, досить великий у порівнянні з подібними атаками в минулому і нещодавно виріс до 11 BTC.

Вірус блокує системи жертв за допомогою сучасної хакерської програми, в основному через ботмережі. Вперше він був виявлений в Північній Америці і використовує алгоритми RSA і AES для шифрування файлів жертв. Схоже, що кампанія має цілеспрямований характер, і її жертвами стають урядові установи та приватні організації.

Ryuk стався з сімейства кодів Hermes, і самі ранні ознаки його активності можна простежити
до серпня 2018 року. Він використовує велику частину коду Hermes, має той самий механізм фільтрації білого списку, що і вірус Hermes, і також використовує рядкові послідовності Hermes навіть для унікального маркера зараження файлів.

Зразок, виявлений в Китаї, випускає і запускає різні модулі, які допоможуть вірусу розвернутися і ще більше підвищити ефективність його роботи. В рамках останніх атак використовувався дроппер, що містить як 32-бітові, так і 64-бітові модулі вірусу. При запуску Ryuk перевіряє, чи був виконаний з певним аргументом, а потім перериває роботу понад 40 процесів і понад 180 служб, що належать до антивірусів, баз даних, програмного забезпечення для резервного копіювання і редагування документів.