Ryuk ransomware

Ryuk, imię niegdyś unikalne dla fikcyjnej postaci w popularnym japońskim komiksie i serii kreskówek, jest teraz nazwą jednej z najbardziej paskudnych rodzin ransomware, które kiedykolwiek nękały systemy na całym świecie.

.st0{fill:#0D3ECC;} POBIERZ MALWAREBYTES ZA DARMO

Również dla Windows, iOS, Android, Chromebook i Dla biznesu

Porozmawiajmy o oprogramowaniu ransomware Ryuk

Ryuk to nazwa rodziny ransomware, po raz pierwszy odkrytej na wolności w sierpniu 2018 roku. W starych dobrych czasach znaliśmy Ryuka tylko jako fikcyjną postać w popularnym japońskim komiksie i serialu animowanym, ale teraz znamy go jako jedną z najbardziej paskudnych rodzin ransomware, które kiedykolwiek nękały systemy na całym świecie.

Czym jest ransomware Ryuk?

Zacznijmy od ogólnej definicji oprogramowania ransomware. Ransomware to kategoria złośliwego oprogramowania, które blokuje pliki lub systemy i przetrzymuje je jako zakładników dla okupu. Ryuk to rodzaj oprogramowania ransomware wykorzystywanego w ukierunkowanych atakach, w których aktorzy zagrożeń upewniają się, że niezbędne pliki są zaszyfrowane, aby mogli zażądać wysokich kwot okupu. Typowe żądanie okupu Ryuk może wynosić kilkaset tysięcy dolarów. Malwarebytes wykrywa go jako Ransom.Ryuk. Aby uzyskać bardziej dogłębne techniczne spojrzenie na to zagrożenie, zapoznaj się z naszym centrum uwagi na temat zagrożenia Ryuk ransomware

Jak działa Ryuk?

Ryuk to jedna z pierwszych rodzin oprogramowania ransomware, która obejmuje możliwość identyfikowania i szyfrowania dysków sieciowych i zasobów, a także usuwania kopii w tle na punkcie końcowym. Oznacza to, że atakujący mogą następnie wyłączyć Windows Przywracanie systemu dla użytkowników, uniemożliwiając odzyskanie danych po ataku bez zewnętrznych kopii zapasowych lub technologii przywracania.

Kto stworzył Ryuka?

Atrybucja złośliwego oprogramowania jest zawsze trudna. Jednak badacze z Deloitte Argentina, Gabriela Nicolao i Luciano Martins, przypisali Ryuk ransomware CryptoTech, mało znanej grupie cyberprzestępczej, która została zaobserwowana na podziemnym forum w sierpniu 2017 roku. Hermes 2.1, według badaczy, to inna nazwa ransomware Ryuk.

Wiadomości o oprogramowaniu ransomware Ryuk

Kto jest celem Ryuka?

Celem ataków Ryuk są zazwyczaj organizacje o wysokim profilu, w których atakujący wiedzą, że prawdopodobnie otrzymają wysokie żądania okupu. Wśród ofiar znalazły się EMCOR, szpitale UHS i kilka gazet. Szacuje się, że atakując te organizacje, Ryuk wygenerował dla swoich operatorów przychód w wysokości 61 milionów dolarów w okresie od lutego 2018 r. do października 2019 r.

Jak dostarczany jest Ryuk?

Podobnie jak w przypadku wielu ataków złośliwego oprogramowania, metodą dostarczania jest spam(malspam). Wiadomości te są często wysyłane ze sfałszowanego adresu, aby nazwa nadawcy nie wzbudzała podejrzeń.
Typowy atak Ryuk rozpoczyna się, gdy użytkownik otwiera uzbrojony dokument Microsoft Office dołączony do wiadomości phishingowej. Otwarcie dokumentu powoduje, że złośliwe makro wykonuje polecenie PowerShell, które próbuje pobrać trojana bankowego Emotet. Trojan ten ma możliwość pobrania dodatkowego złośliwego oprogramowania na zainfekowany komputer, który pobiera i wykonuje Trickbota, którego głównym ładunkiem jest oprogramowanie szpiegujące. Gromadzi on dane uwierzytelniające administratora, umożliwiając atakującym przejście do krytycznych zasobów podłączonych do sieci. Łańcuch ataku kończy się, gdy atakujący wykonują Ryuk na każdym z tych zasobów.

Tak więc po naruszeniu sieci atakujący decydują, czy ich zdaniem warto dalej eksplorować i infiltrować sieć. Jeśli mają wystarczającą przewagę, aby zażądać dużej sumy, wdrożą oprogramowanie ransomware Ryuk.

Uwagi dotyczące Ryuk Ransomware
Uwagi dotyczące ransomware Ryuk

Jak mogę ochronić się przed Ryukiem?

Pierwszym krokiem do ochrony przed atakiem ransomware jest zainwestowanie w ochronę przed złośliwym oprogramowaniem/antywirusem, najlepiej taką, która oferuje ochronę w czasie rzeczywistym, zaprojektowaną w celu udaremnienia zaawansowanych ataków złośliwego oprogramowania, takich jak ransomware. Należy również zwrócić uwagę na funkcje, które zarówno chronią podatne programy przed zagrożeniami (technologia anti-exploit ), jak i blokują ransomware przed przetrzymywaniem plików jako zakładników (komponent anti-ransomware ). Niektóre rozwiązania chroniące przed złośliwym oprogramowaniem oferują technologię wycofywania, zaprojektowaną specjalnie w celu przeciwdziałania skutkom oprogramowania ransomware.

Malwarebytes blokowanie Ryuk Ransomware
Malwarebytes blokuje Ransom.Ryuk

Następnie, choć może to być bolesne, należy regularnie tworzyć bezpieczne kopie zapasowe danych. Zalecamy korzystanie z pamięci masowej w chmurze, która obejmuje szyfrowanie wysokiego poziomu i uwierzytelnianie wieloskładnikowe. Inną opcją jest zakup USB lub zewnętrznego dysku twardego, na którym można zapisywać nowe lub zaktualizowane pliki - pamiętaj tylko, aby fizycznie odłączyć urządzenia od komputera po utworzeniu kopii zapasowej, w przeciwnym razie mogą one również zostać zainfekowane oprogramowaniem ransomware.
Następnie upewnij się, że systemy i oprogramowanie są regularnie aktualizowane. Epidemia ransomware WannaCry wykorzystała lukę w oprogramowaniu Microsoftu i chociaż firma wydała łatkę na lukę w zabezpieczeniach w marcu 2017 r., wiele osób nie zainstalowało aktualizacji - co pozostawiło ich otwartymi na atak. Zdajemy sobie sprawę, że trudno jest być na bieżąco ze stale rosnącą listą aktualizacji oprogramowania i aplikacji, z których korzystasz na co dzień. Dlatego zalecamy zmianę ustawień, aby włączyć automatyczną aktualizację.

Wreszcie, bądź na bieżąco. Jednym z najczęstszych sposobów infekowania komputerów oprogramowaniem ransomware jest socjotechnika. Poinformuj siebie (i swoich pracowników, jeśli jesteś właścicielem firmy), jak wykrywać wiadomości phishingowe, podejrzane strony internetowe i inne oszustwa. A przede wszystkim zachowaj zdrowy rozsądek. Jeśli coś wydaje się podejrzane, prawdopodobnie takie jest.

Jak mogę usunąć Ryuk?

Do skanowania punktów końcowych można użyć konsoliMalwarebytes Anti-Malware Nebula. Wybierz opcję Skanuj + Poddaj kwarantannie. Następnie możesz sprawdzić stronę Wykrycia, aby zobaczyć, jakie zagrożenia zostały znalezione. Na stronie Kwarantanna możesz sprawdzić, które zagrożenia zostały poddane kwarantannie i w razie potrzeby je przywrócić. Przyjrzyj się uważnie stronie Wykrycia, aby sprawdzić, czy możesz znaleźć odpowiedź na pytanie, w jaki sposób Ryuk został dostarczony. Nie chcesz pozostawiać żadnych tylnych furtek, które atakujący mogą ponownie wykorzystać!

Jeśli podejrzewasz, że dostawa Ryuk została przeprowadzona przez Emotet, będziesz musiał wykonać kilka dodatkowych kroków. Jeśli komputer jest podłączony do sieci, należy go natychmiast odizolować. Po odizolowaniu upewnij się, że załatałeś i wyczyściłeś zainfekowany system. Ale to nie wszystko. Ze względu na sposób, w jaki Emotet rozprzestrzenia się w sieci, czysty komputer może zostać ponownie zainfekowany po ponownym podłączeniu do zainfekowanej sieci. Wyczyść każdy komputer w sieci jeden po drugim. Jest to żmudny proces, ale rozwiązania biznesoweMalwarebytes mogą go ułatwić, izolując i naprawiając zainfekowane punkty końcowe oraz oferując proaktywną ochronę przed przyszłymi infekcjami Emotet.