Ryuk ransomware

Ryuk, um nome que antes era exclusivo de um personagem fictício em um popular mangá e série de desenho animado japonesa, agora é conhecido como uma das piores famílias de ransomware que já atormentaram sistemas em todo o mundo.

FAÇA O DOWNLOAD GRATUITO DO SITE MALWAREBYTES

Também para Windows, iOS, Android, Chromebook e Para Empresas

Vamos falar sobre o ransomware Ryuk

Ryuk é o nome de uma família de ransomware, descoberta pela primeira vez em agosto de 2018. Antigamente, conhecíamos o Ryuk apenas como um personagem fictício em um popular mangá e desenho japonês, mas agora sabemos que é uma das piores famílias de ransomware a atormentar sistemas ao redor do mundo.

O que é o Ryuk ransomware?

Vamos começar definindo ransomware de forma geral. Ransomware é uma categoria de malware que bloqueia seus arquivos ou sistemas e os mantém como reféns por um resgate. Ryuk é um tipo de ransomware usado em ataques direcionados, onde os agentes de ameaça garantem que arquivos essenciais sejam criptografados para que possam exigir grandes quantias de resgate. Uma demanda típica de resgate do Ryuk pode chegar a algumas centenas de milhares de dólares. Malwarebytes o detecta como Ransom.Ryuk. Para uma visão técnica mais detalhada sobre essa ameaça, veja nosso foco em ameaça de ransomware Ryuk.

Como o Ryuk funciona?

Ryuk é uma das primeiras famílias de ransomware a incluir a capacidade de identificar e criptografar unidades e recursos de rede, bem como excluir cópias de sombra no endpoint. Isso significa que os atacantes podem então desabilitar a Restauração do Sistema do Windows para os usuários, tornando impossível a recuperação de um ataque sem backups externos ou tecnologia de rollback.

Quem criou o Ryuk?

Atribuir malware sempre é complicado. No entanto, os pesquisadores da Deloitte Argentina, Gabriela Nicolao e Luciano Martins, atribuiram o ransomware Ryuk ao CryptoTech, um grupo cibercriminoso pouco conhecido que foi visto promovendo o Hermes 2.1 em um fórum subterrâneo em agosto de 2017. Hermes 2.1, segundo os pesquisadores, é outro nome para o ransomware Ryuk.

Notícias sobre Ryuk ransomware

2021:

2020:

2019:

Quem são os alvos do Ryuk?

Os alvos do Ryuk tendem a ser organizações de alto perfil, onde os atacantes sabem que têm uma chance de receber um resgate alto. As vítimas incluem EMCOR, hospitais UHS, e vários jornais. Ao visar essas organizações, estima-se que o Ryuk tenha gerado uma receita de $61 milhões para seus operadores entre fevereiro de 2018 e outubro de 2019.

Como o Ryuk é entregue?

Como em muitos ataques de malware, o método de entrega é através de emails de spam (malspam). Esses emails geralmente são enviados de um endereço falsificado, então o nome do remetente não levanta suspeitas.
Um ataque típico do Ryuk começa quando um usuário abre um documento do Microsoft Office armado anexado a um email de phishing. Ao abrir o documento, um macro malicioso executa um comando PowerShell que tenta baixar o Trojan bancário Emotet. Este Trojan tem a capacidade de baixar malware adicional em uma máquina infectada que recupera e executa o Trickbot, cujo principal payload é um spyware. Isso coleta credenciais de administração, permitindo que os atacantes se movam lateralmente para ativos críticos conectados à rede. A cadeia de ataque se conclui quando os atacantes executam o Ryuk em cada um desses ativos.

Então, uma vez que sua rede foi comprometida, os atacantes decidem se vale a pena explorar e infiltrar mais na rede. Se eles tiverem alavancagem suficiente para exigir uma grande quantia, então eles implantam o ransomware Ryuk.

Notas sobre Ryuk Ransomware — *Notas sobre o ransomware Ryuk*

Como posso me proteger contra o Ryuk?

O primeiro passo para se proteger contra qualquer ataque de ransomware é investir em uma proteção anti-malware/antivírus, de preferência uma que ofereça proteção em tempo real projetada para impedir ataques de malware avançados, como ransomware. Você também deve procurar por funcionalidades que protejam programas vulneráveis contra ameaças (uma tecnologia anti-exploit), bem como bloqueiem ransomwares de manter arquivos como reféns (um componente anti-ransomware). Algumas soluções de anti-malware oferecem tecnologia de rollback, particularmente projetada para combater os efeitos do ransomware.

Malwarebytes bloqueando Ryuk Ransomware — *Malwarebytes bloqueia Ransom.Ryuk*

Em seguida, por mais doloroso que possa ser, você precisa criar cópias de segurança seguras de seus dados regularmente. Nossa recomendação é usar armazenamento na nuvem que inclua criptografia de alto nível e autenticação multifator. Outra opção é adquirir USBs ou um disco rígido externo onde você pode salvar arquivos novos ou atualizados—só não se esqueça de desconectar fisicamente os dispositivos do computador após o backup, caso contrário eles também podem ser infectados com ransomware.
Garantir que seus sistemas e softwares sejam atualizados regularmente é uma necessidade. O ataque de ransomware WannaCry aproveitou-se de uma vulnerabilidade no software da Microsoft e, enquanto a empresa havia lançado uma atualização para a falha de segurança em março de 2017, muitas pessoas não instalaram a atualização, o que as deixou vulneráveis ao ataque. Sabemos que é difícil permanecer atualizado com uma lista cada vez maior de atualizações de uma lista cada vez maior de softwares e aplicativos que você usa em sua vida diária. É por isso que recomendamos alterar suas configurações para permitir atualizações automáticas.

Finalmente, mantenha-se informado. Uma das maneiras mais comuns de os computadores serem infectados por ransomware é através de engenharia social. Eduque-se (e seus funcionários se você é proprietário de uma empresa) sobre como detectar emails de phishing, sites suspeitos e outras fraudes. E acima de tudo, use o bom senso. Se parece suspeito, provavelmente é.

Como posso remover o Ryuk?

Você pode usar o console Malwarebytes Anti-Malware Nebula para escanear seus endpoints. Escolha a opção Scan + Quarantine. Depois, você pode verificar a página de Detections para ver quais ameaças foram encontradas. Na página Quarantine, você pode ver quais ameaças foram colocadas em quarentena e restaurá-las se necessário. Observe atentamente a página de Detections para ver se consegue encontrar a resposta de como o Ryuk foi entregue. Você não quer deixar nenhuma porta dos fundos que os atacantes possam usar novamente!

Se você suspeitar que a entrega do Ryuk foi feita pelo Emotet, será necessário realizar algumas etapas adicionais. Se o seu computador estiver conectado a uma rede, isole-o imediatamente. Uma vez isolado, certifique-se de corrigir e limpar o sistema infectado. Mas isso não é tudo. Devido à forma como o Emotet se espalha pela rede, um computador limpo pode ser reinfectado quando conectado novamente a uma rede infectada. Limpe cada computador em sua rede um por um. É um processo tedioso, mas as soluções empresariais da Malwarebytes podem torná-lo mais fácil, isolando e remediando endpoints infectados e oferecendo proteção proativa contra futuras infecções do Emotet.