Давайте поговорим о вымогательстве Ryuk.
Ryuk - это название семейства программ-вымогателей, впервые обнаруженных в августе 2018 года. В старые добрые времена мы знали Рюка только как вымышленного персонажа популярного японского комикса и мультсериала, но теперь мы знаем его как одно из самых опасных семейств вымогательских программ, когда-либо поражавших системы по всему миру.
Что представляет собой программа Ryuk ransomware?
Давайте начнем с общего определения понятия "выкупное ПО". Ransomware - это категория вредоносных программ, которые блокируют ваши файлы или системы и держат их в заложниках с целью получения выкупа. Ryuk - это тип ransomware, используемый в целевых атаках, в ходе которых угрожающие лица убеждаются в том, что важные файлы зашифрованы, чтобы можно было потребовать большой выкуп. Типичное требование выкупа Ryuk может составлять несколько сотен тысяч долларов. Malwarebytes обнаруживает его как Ransom.Ryuk. Более подробное техническое описание этой угрозы можно найти в нашем обзоре угроз Ryuk ransomware.
Как работает Рюк?
Ryuk - одно из первых семейств вымогательских программ, которое способно определять и шифровать сетевые диски и ресурсы, а также удалять теневые копии на конечной точке. Это означает, что злоумышленники могут отключить восстановление системы Windows для пользователей, что делает невозможным восстановление после атаки без внешних резервных копий или технологии отката.
Кто создал Рюка?
Установить авторство вредоносного ПО всегда непросто. Однако исследователи из аргентинской компании Deloitte Габриэла Николао и Лусиано Мартинс приписали вымогательство Ryuk малоизвестной киберпреступной группировке CryptoTech, которая была замечена в августе 2017 года на одном из подпольных форумов за рекламой Hermes 2.1. По мнению исследователей, Hermes 2.1 - это другое название программы Ryuk ransomware.
Новости о вымогательстве Ryuk
- 2021:
- Город Льеж пострадал от вымогательского ПО, подозревается Ryuk
- Вымогательское ПО Ryuk развивает червеподобные возможности
- 2020:
- VideoBytes: Программа Ryuk Ransomware атакует больницы США
- Tampa Bay Times подверглась атаке вымогательского ПО Ryuk
- 2019:
Кто является целью Рюка?
Целями Ryuk, как правило, становятся высокопоставленные организации, где злоумышленники знают, что им, скорее всего, заплатят заоблачные выкупы. Среди жертв - EMCOR, больницы UHS и несколько газет. По оценкам, с февраля 2018 года по октябрь 2019 года Ryuk, атакуя эти организации, принесла своим операторам доход в размере 61 миллиона долларов.
Как доставили Рюка?
Как и во многих других атаках вредоносного ПО, в качестве способа доставки используются спам-письма(malspam). Эти письма часто отправляются с поддельных адресов, чтобы имя отправителя не вызывало подозрений.
Типичная атака Ryuk начинается с того, что пользователь открывает документ Microsoft Office, прикрепленный к фишинговому письму. Открытие документа приводит к тому, что вредоносный макрос выполняет команду PowerShell, которая пытается загрузить банковского троянца Emotet. Этот троянец способен загрузить на зараженную машину дополнительное вредоносное ПО, которое извлекает и запускает Trickbot, основной полезной нагрузкой которого является шпионское ПО. Она собирает учетные данные администратора, что позволяет злоумышленникам переместиться в сторону критически важных активов, подключенных к сети. Цепочка атак завершается, когда злоумышленники выполняют Ryuk на каждом из этих активов.
После взлома вашей сети злоумышленники решают, стоит ли дальше исследовать и проникать в сеть. Если у них достаточно рычагов влияния, чтобы потребовать большую сумму, то они развернут программу Ryuk ransomware.
Как я могу защититься от Рюка?
Первым шагом в защите от любой атаки вымогателей является приобретение антивирусной защиты, желательно той, которая обеспечивает защиту в режиме реального времени и предназначена для предотвращения атак продвинутых вредоносных программ, таких как вымогатели. Вам также следует обратить внимание на функции, которые одновременно защищают уязвимые программы от угроз (технология anti-exploit ), а также блокируют вымогательские программы, удерживающие файлы в заложниках (компонент anti-ransomware ). Некоторые решения для защиты от вредоносного ПО предлагают технологию отката, специально разработанную для борьбы с вымогательским ПО.
Далее, как бы больно вам ни было, необходимо регулярно создавать безопасные резервные копии данных. Мы рекомендуем использовать облачные хранилища, которые включают в себя высокоуровневое шифрование и многофакторную аутентификацию. Другой вариант - приобрести USB-накопитель или внешний жесткий диск, на который можно сохранять новые или обновленные файлы - только не забудьте физически отсоединить устройства от компьютера после создания резервной копии, иначе они тоже могут быть заражены вымогательским ПО.
Кроме того, следите за регулярным обновлением систем и программного обеспечения. Вспышка вымогательства WannaCry воспользовалась уязвимостью в программном обеспечении Microsoft, и хотя компания выпустила патч для этой лазейки еще в марте 2017 года, многие люди не установили обновление, что сделало их открытыми для атаки. Мы понимаем, что трудно уследить за постоянно растущим списком обновлений от постоянно растущего списка программ и приложений, которые вы используете в повседневной жизни. Именно поэтому мы рекомендуем изменить настройки, чтобы включить автоматическое обновление.
Наконец, будьте информированы. Один из самых распространенных способов заражения компьютеров программами-вымогателями - социальная инженерия. Обучите себя (и своих сотрудников, если вы владелец бизнеса) тому, как распознать фишинговые письма, подозрительные веб-сайты и другие мошеннические действия. И, прежде всего, руководствуйтесь здравым смыслом. Если что-то кажется подозрительным, то, скорее всего, так оно и есть.
Как я могу удалить Рюка?
Для сканирования конечных точек можно использовать консольMalwarebytes Anti-Malware Nebula. Выберите опцию "Сканирование + карантин". После этого вы можете просмотреть страницу "Обнаружения", чтобы узнать, какие угрозы были найдены. На странице "Карантин" вы можете увидеть, какие угрозы были помещены в карантин, и при необходимости восстановить их. Внимательно изучите страницу "Обнаружения", чтобы найти ответ на вопрос, как был доставлен Ryuk. Вы же не хотите оставить после себя " черные ходы", которые злоумышленники смогут использовать снова!
Если вы подозреваете, что доставка Ryuk была осуществлена компанией Emotet, вам необходимо выполнить несколько дополнительных действий. Если ваш компьютер подключен к сети, немедленно изолируйте его. После изоляции обязательно установите патч и очистите зараженную систему. Но это еще не все. Из-за способа распространения Emotet по сети чистый компьютер может быть повторно заражен, если его снова подключить к зараженной сети. Очищайте каждый компьютер в сети по очереди. Это утомительный процесс, но решения для бизнесаMalwarebytes могут облегчить его, изолируя и устраняя зараженные конечные точки и обеспечивая проактивную защиту от будущих заражений Emotet.