1. Arka planda giriş
Ryuk, spam ve istismar kitleri aracılığıyla yayılan bir fidye yazılımıdır. İlk olarak Ağustos 2018'de yabancı bir güvenlik şirketi tarafından bildirilmiştir. Kod yapısı HERMES fidye yazılımına çok benzer. Daha önce Sangfor Güvenlik Ekibi 32 bit fidye yazılımını hedeflemişti. Ryuk fidye yazılımı, ayrıntılı bir teknik analiz gerçekleştirdi ve fidye yazılımı ailesinin geliştirme eğilimine çok dikkat etti ve 64 bit sistem sürümü için yakalanan Ryuk fidye yazılımının ayrıntılı bir teknik analizini gerçekleştirdi.
2. Bilgilere genel bakış
1. Fidye yazılımı virüsünün çalışma süreci aşağıdaki gibidir:
2. Şantaj bilgileri şekilde gösterilmektedir:
3. Şifrelenmiş dosya şekilde gösterilmektedir:
Üç, ayrıntılı analiz
1. Karar vermek için sistem sürümünü edinin:
2. İş parçacığı işlevi, xchange ile ilgili süreçleri sonlandırın:
3. İş parçacığı işlevi-bulma biriktiricisi ile ilgili silinecek hizmetler:
4. İşlem izinlerini yükseltin:
5. İşlemin oturum açma kullanıcı bilgilerini alın:
6. Enjeksiyon için "csrss.exe", "explorer.exe" ve "lsaas.exe" işlemlerinden birini bulun:
7. İşleme enjekte edilen kodu yürütün ve sistem sürümüne göre sistem dizininde bir klasör oluşturun:
8. API adresini alın:
9. Enjeksiyon işleminin izinlerini artırın:
10. AES anahtarı oluşturun ve şifreleme için RSA genel anahtarını kullanın:
11. Fidye dosyası bilgilerinin şifresini çözün:
12. Diski çaprazlayın ve dosyayı şifreleyin:
13. Kök dizinde "RyukReadMe.txt" fidye yazılımı dosyasını serbest bırakın:
14. "$ Recycle.Bin", "AhnLab", "Chrome", "Mozilla", "WINDOWS", "RyukReadMe.txt", "UNIQUE_ID_DO_NOT_REMOVE", "PUBLIC" dizinleri veya dosyaları ve "dll / Dll / hrmlog" u hariç tutun / exe / EXE "türü dosya:
15. Koşulları karşılayan dosyaları şifreleyin:
16. Şifrelenmiş dosya için şifrelenmiş bayrağı ayarlayın:
17. Şifrelenmiş dosyayı yeniden adlandırın ve ".RYK" son ekini ekleyin:
Dört, çözüm
Zaten fidye yazılımı deneyimi olan kullanıcılar için, şu an için bir şifre çözme aracı olmadığından, virüslü ana bilgisayarın bağlantısını mümkün olan en kısa sürede kesmeleri önerilir. Sangfor, kullanıcılara virüs ailesinden fidye yazılımı saldırılarını önlemek için virüs algılama ve savunma önlemlerini mümkün olan en kısa sürede tamamlamalarını hatırlatır.
Virüs tespiti ve öldürme
1. Sangfor, kullanıcıların çoğu için ücretsiz anti-virüs araçları sağlar. Algılama ve anti-virüs için aşağıdaki araçları indirebilirsiniz.
2. Sangfor EDR ürünleri ve güvenlik duvarları gibi güvenlik ürünlerinin tümü virüs algılama yeteneklerine sahiptir ve ilgili ürünleri dağıtan kullanıcılar şekilde gösterildiği gibi virüs algılama gerçekleştirebilir:
Virüs savunması
Sangfor'un güvenlik ekibi, kullanıcılara fidye yazılımının temel olarak önleme amaçlı olduğunu bir kez daha hatırlatıyor. Şu anda, fidye yazılımı ile şifrelenen çoğu dosyanın şifresi çözülemiyor. Günlük önleyici tedbirlere dikkat edin:
1. Güvenlik açıklarını düzeltmek için bilgisayarı zamanında düzeltin.
2. Önemli veri dosyalarının düzenli olarak yerel olmayan yedekleri.
3. Bilinmeyen kaynaklardan gelen e-posta eklerine tıklamayın ve bilinmeyen web sitelerinden yazılım indirmeyin.
4. Gereksiz dosya paylaşım izinlerini kapatmayı deneyin.
5. Hesap parolasını değiştirin, güçlü bir parola belirleyin ve birleşik bir parola kullanmaktan kaçının, çünkü birleşik bir parola birinin tehlikeye atılmasına ve birçok kişinin zarar görmesine neden olur.
6. İş için RDP kullanmaya gerek yoksa, RDP'yi kapatmanız önerilir. Bu tür olaylar meydana geldiğinde, çoğalmayı önlemek için 3389 gibi bağlantı noktalarını engellemek için Sangfor güvenlik duvarı veya terminal algılama yanıt platformunun (EDR) mikro izolasyon işlevini kullanmanız önerilir!
7. Sangfor güvenlik duvarı ve terminal algılama yanıt platformunun (EDR) tümü patlama önleme işlevine sahiptir Güvenlik duvarı bu işlevi açar ve 11080051, 11080027, 11080016 kurallarını etkinleştirir ve EDR savunmak için patlama önleme işlevini açar.
8. Sangfor güvenlik duvarı müşterilerinin AF805 sürümüne yükseltmeleri ve en iyi savunma etkisini elde etmek için yapay zeka motorunu Kaydet'i açmaları önerilir.
Son olarak, korumayı güçlendirmek için şirketlerin tüm ağ üzerinde bir güvenlik kontrolü ve antivirüs taraması yapması önerilir. İntraneti algılamak, tespit etmek, öldürmek ve korumak için Sangfor Security Perception + Firewall + EDR kullanılması önerilir.
* Yazar: Clairvoyance Security Labs, lütfen FreeBuf.COM'dan belirtin