Threat Database Ransomware Ryuk 랜섬웨어

Ryuk 랜섬웨어

위협 스코어카드

순위: 14,698
위협 수준: 100 % (높은)
감염된 컴퓨터: 736
처음 본 것: August 28, 2018
마지막으로 본: September 14, 2023
영향을 받는 OS: Windows

Ryuk Ransomware는 2018 년 8 월 13 일에 확인 된 데이터 암호화 트로이 목마입니다. Ryuk Ransomware에 의해 민간 기업 및 의료 기관이 감염된 것으로 보입니다. 위협 행위자들은 미국과 독일의 조직을 감염시킨 것으로보고되었습니다. 초기 분석에 따르면 위협이 손상된 RDP 계정을 통해 시스템에 주입되었지만 위협 페이로드를 매크로 사용 DOCX 및 PDF 파일로 전달하는 병렬 스팸 캠페인이있을 수 있습니다.

일반적인 사실과 귀속

Ryuk Ransomware는 2018 년 8 월 중순에 전 세계 주요 조직에 대한 여러 차례의 잘 계획된 표적 공격을 통해 감염된 PC 및 네트워크의 데이터를 암호화하고 암호 해독 도구에 대한 대가로 몸값 지불을 요구했습니다. Ryuk은 고도의 기술력을 발휘하지 못하지만 다른 랜섬웨어와 구별되는 점은 막대한 몸값을 요구한다는 것 입니다. 그 금액은 영향을받는 조직의 규모에 따라 다르지만, 조사에 따르면 공격자들은 평균적으로 $ 71,000 상당의 비트 코인의 몸값을 지불하면서 피해자로부터 약 400 만 달러의 갈취 돈을 벌써 다른 악성 코드가 일반적으로 요구하는 금액의 10 배에 달합니다. 종류. 2019 년 1 월 현재 Ryuk이 요구 한 가장 낮은 몸값은 1.7 BTC이고 가장 높은 금액은 99 BTC입니다. 알려진 거래 수는 52 개이며 수익금은 37 개의 BTC 주소로 분할되었습니다.

사이버 보안 연구원들은 Ryuk 캠페인과 라자루스 그룹으로 알려진 국가 지원 북한 APT 그룹에 기인 한 HERMES라는 또 다른 랜섬웨어 사이의 유사점을 발견했습니다. Ryuk이 처음 등장했을 때 연구원들은 동일한 해킹 그룹 또는 지하 악성 코드 포럼에서 코드를 획득 한 다른 행위자가 HERMES 소스 코드를 기반으로 구축했다고 믿었습니다. Ryuk과 HERMES의 특정 유사점은 그 결론으로 이어집니다. 두 개의 랜섬웨어 위협은 동일한 코드 세그먼트를 공유하고 Ryuk의 여러 문자열은 Hermes를 참조하며, Ryuk이 시작될 때 각 암호화 된 파일에서 HERMES 마커를 확인하여 시스템이 이미 HERMES의 공격을 받았는지 확인합니다. 몇 가지 중요한 차이점도 있으며, 악성 코드 운영자가 다양한 비트 코인 지갑을 통해 자금을 이체하기 때문에 Ryuk의 사기성 지불의 최종 수신자를 결정할 수 없기 때문에 랜섬웨어의 속성은 여전히 추측의 문제입니다.

동시에 Ryuk 배후의 사이버 범죄자들이 러시아 또는 이전 위성 국가 출신이라는 증거가 있습니다. 예를 들어, 일부 암호화 된 파일에서 러시아어가 피해자와의 커뮤니케이션 내에서 문화적 참조 와 함께 발견되었습니다. 또 다른 이론은 일부보고 된 경우 해킹 그룹이 고정 금액을 요구 한 반면 다른 경우에는 협상 할 준비가되어 있기 때문에 한 명 이상의 승무원이 Ryuk을 운영하고 있다는 것입니다.

주목할만한 공격

2017 년 10 월 HERMES 랜섬웨어는 6,000 만 달러를 훔친 대만의 주요 은행에 대한 정교한 SWIFT 공격의 일부로 사용되었습니다. 전문가들은 당시 HERMES가 단지 전환 목적으로 만 은행 네트워크에 전달되었다고 생각합니다. 대부분의 연구자들은 주요 목표가 표적 기관의 몸값을 강탈하는 것이라고 믿기 때문에 아마도 Ryuk의 경우는 아닐 것입니다.

Ryuk 랜섬웨어는 맞춤형 공격에만 사용되며, 암호화 메커니즘은 대상 네트워크에 저장된 중요한 자산과 리소스에만 영향을 미치는 소규모 작업을 지원하도록 개발되었습니다. 가장 큰 Ryuk 폭발은 랜섬웨어가 홀리데이 캠페인을 시작한 2018 년 크리스마스 무렵에 발생했습니다. 첫째, 악성 코드는 손상된 로그인 계정을 사용하여 클라우드 호스팅 제공 업체 인 Dataresolution.net을 공격했습니다. 이 회사는 고객 데이터가 손상되지 않았다고 주장하지만 악성 코드가 표적 네트워크에 침투하는 방식을 고려할 때 그러한 주장은 그다지 그럴듯하게 들리지 않습니다.

Tribune Publishing 미디어와 관련된 여러 신문 인쇄 기관은 크리스마스 직후 Ryuk의 다음 희생자가되었습니다. 랜섬웨어 공격은 조직이 자체 문서를 인쇄하지 못하도록 막았으며 편집자가 완성 된 페이지를 인쇄기에 보낼 수없는 후 발견되었습니다. 일부 연구자들은 Dataresolution.net과 Tribune Publishing을 공격 한 악성 코드가 Cryptor2.0이라는 Ryuk의 새로운 버전이라고 주장합니다.

이전에 2018 년 10 월 15 일 Ryuk은 Onslow Water and Sewer Authority (OWASA)를 공격하여 네트워크 중단을 일으켰습니다. 주요 서비스와 고객 데이터는 그대로 유지되었지만 랜섬웨어 공격으로 인해 상당수의 데이터베이스와 시스템이 완전히 구축되어야했습니다.


이번 주 악성 코드 비디오 : 에피소드 1은 Emotet, Trickbot 및 Ryuk 랜섬웨어의 삼중 위협 캠페인을 다룹니다.

분포

이전에는 Ryuk이 악성 이메일 첨부 파일과 불충분하게 보호 된 RDP를 통해 1 차 감염으로 유포되었다고 가정했습니다. 그러나 선택된 유명 조직에 대한 제한된 수의 공격은 Ryuk이 수동으로 배포되고 운영된다는 것을 시사합니다. 즉, 광범위한 네트워크 매핑 및 자격 증명 수집을 포함하여 각 공격을 개별적으로 신중하게 준비해야합니다. 이러한 관찰은 공격자가 Ryuk을 설치하기 전에 다른 맬웨어 감염을 통해 대상 도메인에 이미 익숙했음을 시사합니다.

이 이론을 확인한 2019 년 1 월의 최신 연구에 따르면 Ryuk은 주로 Emotet 및 TrickBot 봇넷에 이미 감염된 컴퓨터에 공격자가 수동으로 설치 한 보조 페이로드로 확산됩니다. Emotet이 사용하는 주요 감염 방법은 악성 스크립트로 손상된 Microsoft Office 문서가 첨부 된 스팸 이메일 캠페인을 통한 것입니다. 공격자는 다양한 사회 공학 기술을 사용하여 사용자가 첨부 파일을 열고 "콘텐츠 활성화"를 클릭합니다. 그러면 악성 스크립트가 실행되고 악성 코드가 대상 컴퓨터에 설치 될 수 있습니다. 주요 가설은 Emotet이 초기 감염을 만들고 영향을받는 네트워크를 통해 측면으로 확산 된 다음 자체 악성 캠페인을 시작하여 감염된 네트워크를 통해 추가 맬웨어를 전송한다는 것입니다. 여기에서 가장 일반적으로 Emotet은 자격 증명을 훔치고 네트워크를 통해 측면으로 확산 될 수있는 TrickBot 페이로드를 삭제합니다. Emotet과 TrickBot은 모두 웜, 데이터 스틸러 및 추가 악성 프로그램 다운로더의 기능을 가지고 있습니다. 그런 다음 Trickbot을 사용하여 공격자가 몸값을 빼내려고 계획하는 선택된 기관의 시스템에 Ryuk 랜섬웨어를 드롭합니다. 모든 Emotet 및 TrickBot 탐지에서 관찰 된 Ryuk 감염의 극히 일부는 Ryuk으로 시스템을 감염시키는 두 봇넷의 표준 작업이 아님을 시사합니다.

랜섬 노트

Ryuk 랜섬 노트는 모든 폴더뿐만 아니라 데스크탑에있는 RyukReadMe.txt라는 파일에 포함되어 있습니다. Ryuk은 희생자에게 두 가지 변종 몸값을 보여줍니다. 첫 번째는 길고 잘 작성되었으며 멋지게 표현되어 있으며 현재까지 기록 된 가장 높은 몸값 인 50 BTC ($ 320,000에 해당하는)를 지불했습니다. 첫 번째 Ryuk 공격 중에 표시된 것처럼 보입니다. 두 번째는 훨씬 더 짧고 간단하지만 15 BTC에서 35 BTC까지의 벌금 몸값도 요구합니다. 이는 사기꾼이 공격 할 계획 인 두 가지 수준의 잠재적 인 희생자가있을 수 있음을 의미합니다.

버전 1 :

"신사!
귀하의 비즈니스는 심각한 위험에 처해 있습니다.
회사의 보안 시스템에 심각한 구멍이 있습니다.
우리는 당신의 네트워크에 쉽게 침투했습니다.
어리석은 남학생이나 위험한 녀석이 아니라 진지한 사람들에게 해킹 당해 주님 께 감사해야합니다.
재미로 중요한 모든 데이터를 손상시킬 수 있습니다.
이제 파일이 가장 강력한 군용 알고리즘 RSA4096 및 AES-256으로 암호화됩니다.
특별한 디코더 없이는 아무도 파일 복원을 도와 줄 수 없습니다.
Photorec, RannohDecryptor 등 복구 도구는 쓸모가 없으며 파일을 되돌릴 수 없게 파괴 할 수 있습니다.
파일을 복원하려면 이메일 (연락처는 시트 하단에 있음)에 쓰고 2-3 개의 암호화 된 파일을 첨부하세요.
(각각 5MB 미만, 보관되지 않으며 파일에 중요한 정보가 포함되어서는 안됩니다.
(데이터베이스, 백업, 대형 엑셀 시트 등)).
해독 된 샘플과 디코더를 얻는 방법에 대한 조건을 받게됩니다.
이메일 제목에 회사 이름을 기입하는 것을 잊지 마십시오.
비트 코인으로 복호화 비용을 지불해야합니다.
최종 가격은 귀하가 저희에게 얼마나 빨리 작성 하느냐에 따라 다릅니다.
매일 지연되면 +0.5 BTC가 추가됩니다.
개인적인 것은 없습니다.
비트 코인을받는 즉시 해독 된 모든 데이터를 다시받을 수 있습니다.
또한 보안 구멍을 막는 방법과 향후 이러한 문제를 방지하는 방법에 대한 지침을 받게됩니다.
+ 해커에게 가장 큰 문제를 일으키는 특별한 소프트웨어를 추천합니다.
주의! 한번 더 !
암호화 된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터 암호를 해독하지 마십시오.
추신 : 우리는 사기꾼이 아닙니다.
우리는 귀하의 파일과 정보가 필요하지 않습니다.
그러나 2 주 후에는 모든 파일과 키가 자동으로 삭제됩니다.
감염 후 즉시 요청을 보내십시오.
모든 데이터는 절대적으로 복원됩니다.
귀하의 보증-해독 된 샘플.
연락처 이메일
eliasmarco@tutanota.com
또는
CamdenScott@protonmail.com
BTC 지갑 :
15RLWdVnY5n1n7mTvU1zjg67wt86dhYqNj
안전하지 않은 시스템 "

버전 2 :

"네트워크의 각 호스트에있는 모든 파일은 강력한 알고리즘으로 암호화되었습니다.
백업이 암호화되었거나 삭제되었거나 백업 디스크가 포맷되었습니다.
섀도 복사본도 제거되었으므로 F8 또는 다른 방법은 암호화 된 데이터를 손상시킬 수 있지만 복구 할 수는 없습니다.
우리는 귀하의 상황에 맞는 해독 소프트웨어를 독점적으로 보유하고 있습니다.
공개 된 암호 해독 소프트웨어는 없습니다.
재설정 또는 종료하지 마십시오. 파일이 손상 될 수 있습니다.
암호화 된 파일과 readme 파일의 이름을 바꾸거나 이동하지 마십시오.
readme 파일을 삭제하지 마십시오.
이로 인해 특정 파일의 복구가 불가능할 수 있습니다.
정보를 얻으려면 (파일 암호 해독) 다음 주소로 문의하십시오.
MelisaPeterman@protonmail.com
또는
MelisaPeterman@tutanota.com
BTC 지갑 :
14hVKm7Ft2rxDBFTNkkRC3kGstMGp2A4hk
류크
안전하지 않은 시스템 "

Ryuk 랜섬 노트의 본문은 연락처 이메일 주소와 주어진 BTC 지갑 주소를 제외하고 케이스간에 변경되지 않습니다. 몸값 메모에는 일반적으로 tutanota.com과 protonmail.com에 하나의 주소가 포함되어 있지만 이메일의 이름은 종종 Instagram 모델이나 다른 유명한 사람들의 것입니다. Ryuk 랜섬 노트의 두 번째 버전이 BitPaymer 랜섬 노트와 매우 흡사하다는 것은 주목할 만하지 만 두 랜섬웨어 위협의 배후에있는 행위자들이 서로 어떻게 관련되어 있는지는 알 수 없습니다.

Ryuk의 최신 버전은 이메일 주소 만 포함하고 BTC 지갑 주소는 포함하지 않는 랜섬 노트를 표시합니다. 다음을 읽습니다.

"네트워크에 침투했습니다.
네트워크의 각 호스트에있는 모든 파일은 강력한 알고리즘으로 암호화되었습니다.
백업은 암호화 된 섀도 복사본도 제거되었으므로 F8 또는 다른 방법은 암호화 된 데이터를 손상시킬 수 있지만 복구 할 수는 없습니다.
우리는 귀하의 상황에 맞는 해독 소프트웨어를 독점적으로 보유하고 있습니다. 1 년 이상 전 세계 전문가들은 원래 디코더를 제외하고는 어떤 방법으로도 해독이 불가능하다는 것을 인식했습니다. 공개 된 암호 해독 소프트웨어는 없습니다. 바이러스 백신 회사, 연구원, IT 전문가 및 다른 사람은 데이터 암호화를 도울 수 없습니다.
재설정 또는 종료하지 마십시오. 파일이 손상 될 수 있습니다. readme 파일을 삭제하지 마십시오.
우리의 정직한 의도를 확인하기 위해 2 개의 다른 무작위 파일을 보내면 해독됩니다. 하나의 키가 모든 것을 해독하도록 네트워크의 다른 컴퓨터에서 가져올 수 있습니다. 무료로 잠금 해제하는 파일 2 개
정보를 얻으려면 (파일 암호 해독) cliffordcolden93Qprotonmail.com 또는 Clif fordGolden93@tutanota.com으로 문의하십시오.
Ryuk No system is safe 답장으로 결제 할 btc 주소를 받게됩니다. "

기술적 인 특성

HERMES와 마찬가지로 Ryuk은 RSA-2048 및 AES-256 암호화 알고리즘을 사용합니다. 또한 두 맬웨어 위협 모두 Microsoft SIMPLEBLOB 형식을 사용하여 맬웨어 실행 파일에 키를 저장하고 둘 다 "HERMES"마커를 사용하여 파일이 암호화되었는지 확인합니다. 주요 차이점은 Ryuk이 파일 액세스를 처리하는 방법과 두 번째 포함 된 공개 RSA 키를 사용하는 방법입니다. HERMES가 각 피해자에 대해 개인 RSA 키를 생성하는 동안 Ryuk은 실행 파일에 포함 된 두 개의 공개 RSA 키를 사용합니다. 희생자 별 개인 키가 없기 때문에 모든 호스트는 동일한 암호 해독 키로 해독 할 수 있습니다. 이는 Ryuk 빌드의 약점으로 보이지만 맬웨어가 각 실행 파일에 대해 고유 한 키를 생성하여 단일 실행 파일이 단일 대상 조직에 사용되기 때문에 그렇지 않습니다. 따라서 키가 유출 되더라도 해당 실행 파일에서 암호화 한 데이터 만 복호화합니다. Ryuk은 공격 전에 각 피해자에 대해 RSA 키 쌍을 생성 할 가능성이 매우 높습니다.

Ryuk 작업에는 두 가지 유형의 바이너리 (드로퍼 및 실행 가능한 페이로드)가 포함됩니다. 설치가 완료된 후 실행 가능한 페이로드가 드로퍼를 삭제하므로 드로퍼를 거의 분석 할 수 없습니다. 실행시 드롭퍼는 대상 호스트에서 실행중인 Windows 버전에 따라 설치 폴더 경로를 생성합니다. 예를 들어 Windows XP의 경우 맬웨어 폴더 경로는 C : \ Documents and Settings \ Default User이고 Windows Vista의 경우 C : \ Users \ Public입니다. 그런 다음 멀웨어는 5 개의 알파벳 문자로 구성된 실행 파일에 대해 임의의 이름을 생성합니다. 그 후 드로퍼는 포함 된 페이로드 실행 파일의 해당 32 비트 또는 64 비트 버전을 작성하고 실행합니다. 즉, 호스트에서 파일을 암호화하기위한 Ryuk의 논리를 포함하는 드롭퍼가 작성한이 실행 가능한 페이로드입니다. Ryuk은 CD-ROM 드라이브를 제외하고 ARP (Address Resolution Protocol) 항목이있는 모든 액세스 가능한 파일 및 호스트를 암호화하려고합니다. 파일 확장자 ".ryk"가 각 암호화 된 파일에 추가되고 모든 디렉토리에는 랜섬 노트 RyukReadMe.txt도 포함됩니다.

Ryuk의 최신 빌드에는 지속성 기능이 없습니다. 다른 알려진 랜섬웨어 제품군과 달리 Ryuk에는 현재 프로세스 / 서비스 종료 및 복구 방지 기능이 내장되어 있지 않습니다. 또한 피해자가 데이터 복구를 시도 할 수있는 Windows 시스템 복원 옵션을 비활성화하기 위해 Ryuk은 암호화 된 파일의 기존 섀도 복사본을 삭제합니다.

일반적인 랜섬웨어 위협과 달리 Ryuk은 암호화해서는 안되는 파일의 화이트리스트에 Windows 시스템 파일을 넣지 않습니다. 즉, 호스트의 안정성을 보장하는 메커니즘이 없습니다. 놀랍게도 시스템 드라이버 (.sys) 및 OLE 제어 확장명 (.ocx)과 같은 다른 실행 파일 유형도 암호화해서는 안되는 파일 목록에 없습니다. 많은 중요한 폴더 이름도 화이트리스트에 없습니다. 예를 들어 Ryuk은 Windows 부트 로더 파일을 암호화하려고 시도하는 경우가 많으며, 이는 감염된 시스템을 불안정하게 만들고 시간이 지남에 따라 부팅 할 수 없게 만듭니다. 실제로 Ryuk은 .exe, .dll 및 hrmlog의 세 가지 파일 확장명 만 허용하며, 마지막 파일은 원래 HERMES 맬웨어에 의해 생성 된 디버그 로그 파일 이름 인 것처럼 보입니다. Ryuk의 화이트리스트에있는 폴더 이름은 Mozilla, Chrome, Microsoft, Windows, Recycle.bin, AhnLab입니다. 다음은 HERMES와의 또 다른 유사점입니다. 두 맬웨어 위협 모두 대한민국에서 인기있는 보안 소프트웨어 이름 인 "AhnLab"이라는 폴더를 허용 목록에 추가합니다.

Ryuk 랜섬웨어는 임의의 이름으로 Temp 폴더에서 실행되고 사용자의 데스크톱에 'RyukReadMe.tx'라는 이름의 랜섬 노트를 저장하는 것으로 알려져 있습니다. Ryuk Ransomware 팀은 공유 폴더 및 비밀번호로 보호되지 않는 네트워크 드라이브를 통해 연결된 컴퓨터에 위협을 제거하려고 시도 할 수 있습니다. Ryuk 랜섬웨어는 텍스트, 스프레드 시트, eBook, 프레젠테이션, 데이터베이스, 이미지, 비디오 및 오디오 파일을 안전하게 암호화합니다. Ryuk 랜섬웨어에 대응하고 필요한 경우 데이터를 복원하려면 좋은 백업 솔루션이 있어야합니다. 엄격한 액세스 정책과 적극적인 모니터링을 통해 위협의 확산과 조직에 미칠 수있는 피해를 제한 할 수 있습니다. AV 회사는 Ryuk Ransomware와 관련된 파일을 차단하고 다음과 같이 표시합니다.

Ransom_RYUK.THHBAAH
TR / FileCoder.lkbhx
트로이 목마 (0053a8e51)
Trojan-Ransom.Ryuk
Trojan-Ransom.Win32.Encoder.em
Trojan.GenericKD.31177924 (B)
Trojan.Win64.S.Ryuk.174080
트로이 목마 /Win64.Ryukran.R234812
W64 / Trojan.PIZE-2908

사고 보고서에 따르면 원래 위협 개발자가 랜섬웨어 캠페인을 위해 'WayneEvenson@protonmail.com'및 'WayneEvenson@tutanota.com'이메일 계정을 사용하기로 전환했습니다. 'wayneevenson@protonmail.com'랜섬웨어는 손상된 시스템에서 'PdTlG.exe'로 실행될 수 있지만 임의의 파일 이름을 사용할 수 있습니다. 'wayneevenson@protonmail.com'랜섬웨어에 도입 된 새로운 특성은 Microsoft의 메모장 애플리케이션을 통해 사용자의 데스크톱으로 랜섬 메시지를 자동으로로드하는 것 같습니다. 우리는 의심하지 않는 사용자에게 제품을 제공하기 위해 악용되는 Ryuk Ransomware 동작과 새로운 공격 벡터를 계속 추적합니다. 강력한 백업 관리자의 서비스를 사용하고 신뢰할 수없는 소스에서 매크로로드를 비활성화해야합니다. 'wayneevenson@protonmail.com'랜섬웨어에 대한 탐지 규칙은 다음 경고로 관련 파일에 태그를 지정하는 대부분의 AV 공급 업체에서 지원합니다.

드로퍼 /Win32.Ryukran.R234915
Ransom.Jabaxsta! 1.B3AA (클래식)
랜섬 /W32.Ryuk.393216
랜섬 : Win32 / Jabaxsta.B! dr
TR / FileCoder.biysh
트로이 목마 (0053a8931)
Trojan.Agentbypassg
Trojan.Invader.bsk
Trojan.Ransom.Ryuk
Trojan.Ransom.Ryuk.A (B)
Trojan.Ransom.Win32.1398

SpyHunter는 Ryuk 랜섬웨어를 감지하고 제거합니다.

파일 시스템 세부 정보

Ryuk 랜섬웨어는 다음 파일을 생성할 수 있습니다.
# 파일 이름 MD5 탐지
1. 465febfdacf37da8a7c4f1076110c3c8.dat 465febfdacf37da8a7c4f1076110c3c8 7
2. RyukReadMe.txt

관련 게시물

트렌드

가장 많이 본

로드 중...