Ryuk ransomware

Ryuk, um nome que antes era exclusivo de um personagem fictício de uma popular série de quadrinhos e desenhos animados japoneses, agora é o nome de uma das famílias de ransomware mais desagradáveis que já assolaram os sistemas em todo o mundo.

.st0{fill:#0D3ECC;} FAÇA O DOWNLOAD GRATUITO DO SITE MALWAREBYTES

Também para Windows, iOS, Android, Chromebook e For Business

Vamos falar sobre o ransomware Ryuk

Ryuk é o nome de uma família de ransomware, descoberta pela primeira vez em agosto de 2018. Antigamente, conhecíamos Ryuk apenas como um personagem fictício de uma popular série de quadrinhos e desenhos animados japoneses, mas agora o conhecemos como uma das famílias de ransomware mais desagradáveis que já assolaram sistemas em todo o mundo.

O que é o Ryuk ransomware?

Vamos começar definindo o ransomware em geral. O ransomware é uma categoria de malware que bloqueia seus arquivos ou sistemas e os mantém como reféns para pagamento de resgate. Ryuk é um tipo de ransomware usado em ataques direcionados, em que os agentes da ameaça garantem que os arquivos essenciais sejam criptografados para que possam pedir grandes quantias de resgate. Um pedido de resgate típico do Ryuk pode chegar a algumas centenas de milhares de dólares. O site Malwarebytes o detecta como Ransom.Ryuk. Para uma análise técnica mais aprofundada dessa ameaça, consulte nosso destaque sobre a ameaça Ryuk ransomware

Como Ryuk trabalha?

Ryuk é uma das primeiras famílias de ransomware a incluir a capacidade de identificar e criptografar unidades e recursos de rede, bem como excluir cópias de sombra no endpoint. Isso significa que os invasores podem desativar a restauração do sistema Windows para os usuários, tornando impossível a recuperação de um ataque sem backups externos ou tecnologia de reversão.

Quem criou Ryuk?

A atribuição de malware é sempre difícil. No entanto, os pesquisadores da Deloitte Argentina, Gabriela Nicolao e Luciano Martins, atribuíram o ransomware Ryuk à CryptoTech, um grupo cibercriminoso pouco conhecido que foi observado divulgando o Hermes 2.1 em um fórum clandestino em agosto de 2017. O Hermes 2.1, de acordo com os pesquisadores, é outro nome para o ransomware Ryuk.

Notícias sobre o ransomware Ryuk

Quem são os alvos de Ryuk?

Os alvos do Ryuk tendem a ser organizações de alto nível, nas quais os atacantes sabem que provavelmente receberão seus altos pedidos de resgate. As vítimas incluem a EMCOR, hospitais UHS e vários jornais. Ao visar essas organizações, estima-se que o Ryuk tenha gerado uma receita de US$ 61 milhões para seus operadores entre fevereiro de 2018 e outubro de 2019.

Como o Ryuk é entregue?

Como em muitos ataques de malware, o método de entrega são os e-mails de spam(malspam). Esses e-mails geralmente são enviados de um endereço falso, para que o nome do remetente não levante suspeitas.
Um ataque típico do Ryuk começa quando um usuário abre um documento do Microsoft Office armado anexado a um e-mail de phishing. A abertura do documento faz com que uma macro mal-intencionada execute um comando do PowerShell que tenta fazer o download do Trojan bancário Emotet. Esse cavalo de Troia tem a capacidade de baixar malware adicional em uma máquina infectada que recupera e executa o Trickbot, cuja carga útil principal é um spyware. Isso coleta credenciais de administrador, permitindo que os atacantes se desloquem lateralmente para ativos essenciais conectados à rede. A cadeia de ataque termina quando os atacantes executam o Ryuk em cada um desses ativos.

Assim, uma vez que sua rede tenha sido violada, os atacantes decidem se acham que vale a pena o esforço de explorar e se infiltrar mais na rede. Se eles tiverem vantagem suficiente para exigir uma grande quantia, eles implantarão o ransomware Ryuk.

Notas sobre o Ryuk Ransomware
Notas sobre o ransomware Ryuk

Como posso me proteger de Ryuk?

A primeira etapa da proteção contra qualquer ataque de ransomware é investir em uma proteção antimalware/antivírus, de preferência uma que ofereça proteção em tempo real projetada para impedir ataques avançados de malware, como o ransomware. Você também deve procurar recursos que protejam os programas vulneráveis contra ameaças (uma tecnologia anti-exploração ) e que impeçam o ransomware de manter os arquivos como reféns (um componente anti-ransomware ). Algumas soluções antimalware oferecem tecnologia de reversão, especialmente projetada para combater os efeitos do ransomware.

Malwarebytes Bloqueio do Ryuk Ransomware
Malwarebytes blocos Ransom.Ryuk

Em seguida, por mais que lhe custe, você precisa criar backups seguros de seus dados regularmente. Nossa recomendação é usar o armazenamento em nuvem que inclui criptografia de alto nível e autenticação multifator. Outra opção é comprar USBs ou um disco rígido externo onde você possa salvar arquivos novos ou atualizados - apenas certifique-se de desconectar fisicamente os dispositivos do computador após fazer o backup, caso contrário, eles também poderão ser infectados por ransomware.
Em seguida, certifique-se de que seus sistemas e softwares sejam atualizados regularmente. O surto do ransomware WannaCry aproveitou-se de uma vulnerabilidade no software da Microsoft e, embora a empresa tenha lançado um patch para a brecha de segurança em março de 2017, muitas pessoas não instalaram a atualização, o que as deixou expostas ao ataque. Entendemos que é difícil ficar por dentro de uma lista cada vez maior de atualizações de uma lista cada vez maior de softwares e aplicativos que você usa no seu dia a dia. É por isso que recomendamos alterar suas configurações para ativar a atualização automática.

Por fim, mantenha-se informado. Uma das maneiras mais comuns de infectar computadores com ransomware é por meio de engenharia social. Eduque-se (e aos seus funcionários, se você for proprietário de uma empresa) sobre como detectar e-mails de phishing, sites suspeitos e outros golpes. E, acima de tudo, use o bom senso. Se parecer suspeito, provavelmente é.

Como posso remover o Ryuk?

Você pode usar o console doMalwarebytes Anti-Malware Nebula para verificar seus endpoints. Escolha a opção Scan + Quarantine. Depois disso, você pode verificar a página Detections (Detecções) para ver quais ameaças foram encontradas. Na página Quarantine (Quarentena), você pode ver quais ameaças foram colocadas em quarentena e restaurá-las, se necessário. Dê uma olhada na página Detections para ver se consegue encontrar a resposta sobre como o Ryuk foi entregue. Você não quer deixar nenhuma porta dos fundos para trás que os atacantes possam usar novamente!

Se você suspeitar que a entrega do Ryuk foi realizada pelo Emotet, será necessário executar algumas etapas adicionais. Se o seu computador estiver conectado a uma rede, isole-o imediatamente. Uma vez isolado, certifique-se de corrigir e limpar o sistema infectado. Mas isso não é tudo. Devido à maneira como o Emotet se espalha pela rede, um computador limpo pode ser reinfectado quando conectado novamente a uma rede infectada. Limpe cada computador em sua rede, um a um. É um processo tedioso, mas as soluções empresariais daMalwarebytes podem facilitar esse processo, isolando e corrigindo endpoints infectados e oferecendo proteção proativa contra futuras infecções pelo Emotet.