Ryuk'a fidye yazılımı enjekte ederek x64 sisteminin pençelerine ulaşıyor

1. Arka planda giriş

Ryuk, spam ve istismar kitleri aracılığıyla yayılan bir fidye yazılımıdır. İlk olarak Ağustos 2018'de yabancı bir güvenlik şirketi tarafından bildirilmiştir. Kod yapısı HERMES fidye yazılımına çok benzer. Daha önce Sangfor Güvenlik Ekibi 32 bit fidye yazılımını hedeflemişti. Ryuk fidye yazılımı, ayrıntılı bir teknik analiz gerçekleştirdi ve fidye yazılımı ailesinin geliştirme eğilimine çok dikkat etti ve 64 bit sistem sürümü için yakalanan Ryuk fidye yazılımının ayrıntılı bir teknik analizini gerçekleştirdi.

2. Bilgilere genel bakış

1. Fidye yazılımı virüsünün çalışma süreci aşağıdaki gibidir:

2. Şantaj bilgileri şekilde gösterilmektedir:

3. Şifrelenmiş dosya şekilde gösterilmektedir:

Üç, ayrıntılı analiz

1. Karar vermek için sistem sürümünü edinin:

2. İş parçacığı işlevi, xchange ile ilgili süreçleri sonlandırın:

3. İş parçacığı işlevi-bulma biriktiricisi ile ilgili silinecek hizmetler:

4. İşlem izinlerini yükseltin:

5. İşlemin oturum açma kullanıcı bilgilerini alın:

6. Enjeksiyon için "csrss.exe", "explorer.exe" ve "lsaas.exe" işlemlerinden birini bulun:

7. İşleme enjekte edilen kodu yürütün ve sistem sürümüne göre sistem dizininde bir klasör oluşturun:

8. API adresini alın:

9. Enjeksiyon işleminin izinlerini artırın:

10. AES anahtarı oluşturun ve şifreleme için RSA genel anahtarını kullanın:

11. Fidye dosyası bilgilerinin şifresini çözün:

12. Diski çaprazlayın ve dosyayı şifreleyin:

13. Kök dizinde "RyukReadMe.txt" fidye yazılımı dosyasını serbest bırakın:

14. "$ Recycle.Bin", "AhnLab", "Chrome", "Mozilla", "WINDOWS", "RyukReadMe.txt", "UNIQUE_ID_DO_NOT_REMOVE", "PUBLIC" dizinleri veya dosyaları ve "dll / Dll / hrmlog" u hariç tutun / exe / EXE "türü dosya:

15. Koşulları karşılayan dosyaları şifreleyin:

16. Şifrelenmiş dosya için şifrelenmiş bayrağı ayarlayın:

17. Şifrelenmiş dosyayı yeniden adlandırın ve ".RYK" son ekini ekleyin:

Dört, çözüm

Zaten fidye yazılımı deneyimi olan kullanıcılar için, şu an için bir şifre çözme aracı olmadığından, virüslü ana bilgisayarın bağlantısını mümkün olan en kısa sürede kesmeleri önerilir. Sangfor, kullanıcılara virüs ailesinden fidye yazılımı saldırılarını önlemek için virüs algılama ve savunma önlemlerini mümkün olan en kısa sürede tamamlamalarını hatırlatır.

Virüs tespiti ve öldürme

1. Sangfor, kullanıcıların çoğu için ücretsiz anti-virüs araçları sağlar. Algılama ve anti-virüs için aşağıdaki araçları indirebilirsiniz.

2. Sangfor EDR ürünleri ve güvenlik duvarları gibi güvenlik ürünlerinin tümü virüs algılama yeteneklerine sahiptir ve ilgili ürünleri dağıtan kullanıcılar şekilde gösterildiği gibi virüs algılama gerçekleştirebilir:

Virüs savunması

Sangfor'un güvenlik ekibi, kullanıcılara fidye yazılımının temel olarak önleme amaçlı olduğunu bir kez daha hatırlatıyor. Şu anda, fidye yazılımı ile şifrelenen çoğu dosyanın şifresi çözülemiyor. Günlük önleyici tedbirlere dikkat edin:

1. Güvenlik açıklarını düzeltmek için bilgisayarı zamanında düzeltin.

2. Önemli veri dosyalarının düzenli olarak yerel olmayan yedekleri.

3. Bilinmeyen kaynaklardan gelen e-posta eklerine tıklamayın ve bilinmeyen web sitelerinden yazılım indirmeyin.

4. Gereksiz dosya paylaşım izinlerini kapatmayı deneyin.

5. Hesap parolasını değiştirin, güçlü bir parola belirleyin ve birleşik bir parola kullanmaktan kaçının, çünkü birleşik bir parola birinin tehlikeye atılmasına ve birçok kişinin zarar görmesine neden olur.

6. İş için RDP kullanmaya gerek yoksa, RDP'yi kapatmanız önerilir. Bu tür olaylar meydana geldiğinde, çoğalmayı önlemek için 3389 gibi bağlantı noktalarını engellemek için Sangfor güvenlik duvarı veya terminal algılama yanıt platformunun (EDR) mikro izolasyon işlevini kullanmanız önerilir!

7. Sangfor güvenlik duvarı ve terminal algılama yanıt platformunun (EDR) tümü patlama önleme işlevine sahiptir Güvenlik duvarı bu işlevi açar ve 11080051, 11080027, 11080016 kurallarını etkinleştirir ve EDR savunmak için patlama önleme işlevini açar.

8. Sangfor güvenlik duvarı müşterilerinin AF805 sürümüne yükseltmeleri ve en iyi savunma etkisini elde etmek için yapay zeka motorunu Kaydet'i açmaları önerilir.

Son olarak, korumayı güçlendirmek için şirketlerin tüm ağ üzerinde bir güvenlik kontrolü ve antivirüs taraması yapması önerilir. İntraneti algılamak, tespit etmek, öldürmek ve korumak için Sangfor Security Perception + Firewall + EDR kullanılması önerilir.

* Yazar: Clairvoyance Security Labs, lütfen FreeBuf.COM'dan belirtin

Jack Ma, "ayrılmaya ve emekli olmaya zorlandığı" söylentilerini yalanladı, yeni iPhone resmi web sitesi fiyatının altına düştü Lei Feng Morning Post
önceki
CTF GIRLın ıslak vücut partisi, havalı görünümü kendisiyle parlıyor ~
Sonraki
Oscar "En İyi Film" için o kadar çok sanat afişi var ki, sonuncusu ironik
AI = makine öğrenimi², biz² Profesör Fan Jianqing, Princeton
Kolej giriş sınavına 40 yıldır devam etmek: Bu reform politikaları hayatınızı etkiledi mi?
Yerel web sitesi içeriğinin tahrifatına ilişkin mevcut durumla ilgili soruşturma
Basit ve gösterişsiz veya bariz ve vahşi! Goodhood x NEIGHBORHOOD ortak liste ürünleri, istediğiniz zaman geçiş yapabilirsiniz
Kaichen'in ilk MPV'si burada, Baojun 730 dikkatli olmalı!
Yuji'nin en güçlü serisi, uzaktan hasat daha kolay
Atık odun mu yoksa üretkenlik aracı mı? Zhiyun Weebill Lab kullanım deneyimi
400 RMB civarında, satın alınması en ekonomik ve aşınmaya dayanıklı lastik hangisidir?
Ali'nin otonom sürüşü konuşlandırmasının doğasında bulunan avantajları nelerdir? Ali Yunqi Konferansı
Kanyenin Calabasası başı dertte mi? Logo aslında intihalle suçlandı
Intranet penetrasyonu (deneysel) etki alanı penetrasyonu derin kabuk kabuğu, etki alanı kontrolünü almak için 3389 açık

Copyleft gutx

To Top