Ryuk ransomware

Ryuk, imię niegdyś unikalne dla fikcyjnej postaci w popularnym japońskim komiksie i serii kreskówek, jest teraz nazwą jednej z najbardziej paskudnych rodzin ransomware, które kiedykolwiek nękały systemy na całym świecie.

.st0{fill:#0D3ECC;} POBIERZ MALWAREBYTES ZA DARMO

Także dla Windows, iOS, Android, Chromebook i Dla Biznesu

Porozmawiajmy o ransomware Ryuk

Ryuk to nazwa rodziny ransomware, pierwszy raz wykrytego na wolności w sierpniu 2018 roku. W dawnych dobrych czasach Ryuk był tylko fikcyjną postacią z popularnej japońskiej mangi i serialu animowanego, ale teraz znamy go jako jedną z najbardziej dokuczliwych rodzin ransomware, które nękają systemy na całym świecie.

Czym jest ransomware Ryuk?

Zacznijmy od definicji ogólnej ransomware. Ransomware to kategoria złośliwego oprogramowania, które blokuje pliki lub systemy i trzyma je jako zakładników dla okupu. Ryuk to typ ransomware używany w ukierunkowanych atakach, gdzie sprawcy dbają o to, by zaszyfrować kluczowe pliki, aby zażądać dużych sum za ich odzyskanie. Typowy żądany okup w przypadku Ryuka może wynosić kilka setek tysięcy dolarów. Malwarebytes wykrywa go jako Ransom.Ryuk. Dla bardziej szczegółowego technicznego spojrzenia na to zagrożenie zobacz Ryuk ransomware threat spotlight

Jak działa Ryuk?

Ryuk to jedna z pierwszych rodzin ransomware, które potrafią identyfikować i szyfrować sieciowe dyski i zasoby, a także usuwać kopie w tle na końcówce. Oznacza to, że atakujący mogą wyłączyć przywracanie systemu Windows dla użytkowników, co uniemożliwia odzyskanie danych po ataku bez zewnętrznych kopii zapasowych lub technologii cofania zmian.

Kto stworzył Ryuka?

Atrybucja złośliwego oprogramowania jest zawsze trudna. Jednak badacze z Deloitte Argentina, Gabriela Nicolao i Luciano Martins, przypisali ransomware Ryuk grupie cyberprzestępczej o nazwie CryptoTech, która była obserwowana, gdy reklamowała Hermes 2.1 na forum podziemnym w sierpniu 2017. Według badaczy, Hermes 2.1 to inne określenie na ransomware Ryuk.

Wiadomości o Ryuk ransomware

Kim są cele Ryuka?

Cele ataków Ryuk to zazwyczaj organizacje o wysokim profilu, gdzie atakujący wie, że może uzyskać wysoki okup. Ofiary to m.in. EMCOR, szpitale UHS i kilka gazet. Szacuje się, że atakując te organizacje, Ryuk przyniósł swoim operatorom około 61 milionów dolarów przychodu pomiędzy lutym 2018 a październikiem 2019.

Jak dostarczany jest Ryuk?

Podobnie jak w przypadku wielu ataków złośliwego oprogramowania, metoda dostarczania to wiadomości spamowe (malspam). Często wysyłane są z fałszywych adresów, więc nazwa nadawcy nie budzi podejrzeń.
Typowy atak Ryuk zaczyna się, gdy użytkownik otwiera uzbrojony dokument Microsoft Office załączony do wiadomości phishingowej. Otworzenie dokumentu powoduje wykonanie złośliwego makra, które uruchamia polecenie PowerShell próbujące pobrać Trojan bankowy Emotet. Ten Trojan może pobierać dodatkowe złośliwe oprogramowanie na zainfekowany komputer, które pobiera i wykonuje Trickbot, którego głównym ładunkiem jest spyware. Zbiera to dane dostępowe administratora, pozwalając atakującym na ruch lateralny do krytycznych zasobów podłączonych do sieci. Łańcuch ataków kończy się, gdy atakujący wykonuje Ryuk na każdym z tych zasobów.

Więc kiedy twój system zostanie naruszony, atakujący decydują, czy warto dalej eksplorować i infiltr...ować sieć. Jeżeli mają wystarczającą przewagę do wymuszenia dużego okupu, wdrażają Ryuk ransomware.

Notatki o Ryuk Ransomware
Notatki Ryuk ransomware

Jak mogę chronić się przed Ryukiem?

Pierwszym krokiem w ochronie przed atakami ransomware jest inwestycja w programy anty-malware/antywirusowe, najlepiej takie, które oferują ochronę w czasie rzeczywistym zaprojektowaną, aby przeciwdziałać zaawansowanym atakom złośliwego oprogramowania, takim jak ransomware. Powinieneś także zwracać uwagę na funkcje, które zabezpieczą wrażliwe programy przed zagrożeniami (technologia anty-eksploitowa), jak również zablokują ransomware przed trzymaniem plików jako zakładników (komponent anty-ransomware). Niektóre rozwiązania anty-malware oferują technologię cofania zmian, szczególnie zaprojektowaną do przeciwdziałania efektom ransomware.

Malwarebytes blokuje Ryuk Ransomware
Malwarebytes blokuje Ransom.Ryuk

Następnie, mimo że może to być dla ciebie bolesne, musisz regularnie tworzyć bezpieczne kopie zapasowe danych. Zalecamy korzystanie z chmury, która oferuje wysoki poziom szyfrowania i uwierzytelnianie wieloskładnikowe. Inną opcją jest zakup USB lub zewnętrznego dysku twardego, na którym przechowasz nowe lub zaktualizowane pliki — pamiętaj tylko, aby odłączyć te urządzenia fizycznie po backupie, w przeciwnym razie mogą zostać zainfekowane ransomware.
Pamiętaj też, aby regularnie aktualizować systemy i oprogramowanie. Atak ransomware WannaCry wykorzystał lukę w zabezpieczeniach oprogramowania Microsoft, i choć firma wydała aktualizację rozwiązującą ten problem w marcu 2017, wiele osób jej nie zainstalowało, co zostawiło ich otwartych na atak. Rozumiemy, że trudno jest nadążać za ciągle rosnącą listą aktualizacji od ciągle rosnącej listy oprogramowania i aplikacji, z których korzystasz na co dzień. Dlatego zalecamy zmianę ustawień, aby włączyć automatyczne aktualizacje.

Na koniec, bądź na bieżąco. Jednym z najczęstszych sposobów infekcji komputerów ransomware jest inżynieria społeczna. Edukuj się (i swoich pracowników, jeśli jesteś właścicielem firmy), jak rozpoznawać phishingowe e-maile, podejrzane strony internetowe i inne oszustwa. I przede wszystkim, stosuj zdrowy rozsądek. Jeśli coś wydaje się podejrzane, prawdopodobnie tak właśnie jest.

Jak mogę usunąć Ryuka?

Możesz użyć konsoli Malwarebytes Anti-Malware Nebula do skanowania punktów końcowych. Wybierz opcję Skanowanie + Kwarantanna. Następnie na stronie Wykrycia można sprawdzić, które zagrożenia zostały wykryte. Na stronie Kwarantanna można zobaczyć, które zagrożenia były poddane kwarantannie i przywrócić je, jeśli zajdzie taka potrzeba. Dokładnie przeszukaj stronę Wykrycia, aby sprawdzić, jak Ryuk został dostarczony. Nie chcesz zostawić żadnych tylnych drzwi, z których atakujący mogą ponownie skorzystać!

Jeśli podejrzewasz dostarczenie Ryuk przez Emotet, będziesz musiał wykonać dodatkowe kroki. Jeśli twój komputer jest podłączony do sieci — natychmiast go odizoluj. Po odizolowaniu, upewnij się, że system został załatany i oczyszczony. To jednak nie wszystko. W związku z tym, że Emotet rozprzestrzenia się po sieci, czysty komputer podłączony z powrotem do zainfekowanej sieci może ponownie zostać zainfekowany. Czyść każdy komputer w sieci jeden po drugim. To żmudny proces, ale rozwiązania biznesowe Malwarebytes mogą sprawić, że będzie to łatwiejsze, izolując i naprawiając zainfekowane punkty końcowe oraz oferując proaktywną ochronę przed przyszłymi infekcjami Emotet.