„Ryuk Ransomware“ sukuria chaosą: taikosi į vyriausybes ir ligoninių įstaigas

Gilus žvilgsnis į „Ryuk Ransomware“

„Ryuk“ išpirkos programinė įranga yra pažengusi kompiuterio grėsmė, kuriai panaudoti būdai įsiskverbti į sistemas ir skirti vyriausybės institucijoms bei ligoninėms. Kai kurie gali atpažinti pavadinimą iš populiarios japonų mangos. Perspėjame, kad tai neturi nieko bendra su minėta manga, išskyrus jos pavadinimą.

Po „Ryuk“ išpirkos programos rasite visus savo failus su pridėtu „.ryk“ plėtiniu. Kai jie bus vietoje, jūsų duomenys taps nebenaudojami. Infekcija užrakina jūsų failus naudodama RSA (asimetrinis) ir AES (simetriškas) šifravimo algoritmus. Kai tik jūsų duomenys bus užšifruoti, darbalaukyje pamatysite išpirkos užrašą. Jis taip pat rodomas kiekviename aplanke, kuriame yra užrakinti duomenys. Jis vadinamas RyukReadMe, ir tai yra „.html“ arba „.txt“ failas. Tikslus gautas išpirkos pranešimas priklauso nuo to, kokia auka esate. Norėdami išsiaiškinti, „Ryuk“ palieka skirtingas žinutes įmonėms ar panašioms institucijoms (sveikatos priežiūros įstaigoms, vyriausybėms ir pan.). Šios dvi skirtingos pastabos yra šios:


Jūsų laukia sunkus pasirinkimas. Turite nuspręsti, ar pasitikėti kibernetinių priekabiautojų patikimumu ir sumokėti išpirką. Arba to nedaryti ir apleisti failus. Ekspertai ragina pasirinkti pastarąjį. Visada atsiminkite, kad bendraujate su elektroniniais nusikaltėliais, ir jais negalima pasitikėti.

„Ryuk Ransomware“ protrūkiai

Ryuk pareikalavo įspūdingo aukų sąrašo per gana trumpą jo gyvavimo laiką. Pirmą kartą jis buvo atrastas 2018 m. Rugpjūčio mėn., O 2019 m. Jis sudarė daugiau kaip 18% išpirkos programų išpuolių.


„Ryuk“ dalis išpirkos programų rinkoje 2019 m. - Šaltinis: Coveware.com.

Žemiau yra sąrašas kai kurių „Ryuk“ tikslų:

  • Rivjeros paplūdimys (2019 m. Gegužė)
  • Lake City (2019 m. Birželio mėn.)
  • „Tampa“ radijas (2019 m. Birželio mėn.)
  • Džordžijos teismai (2019 m. Birželio mėn.)
  • La Porte apygarda (2019 m. Liepa)
  • Sirakūzų mokykla (2019 m. Liepa)
  • Onondagos apskrities biblioteka (2019 m. Liepa)
  • Butlerio apskrities biblioteka (2019 m. Liepa)
  • Collierville, TN užkrėstas (2019 m. Liepa)
  • Henry County, GA (2019 m. Liepa)
  • Lawrenceville, GA policijos departamentas (2019 m. Liepa)

Iš „Riviera Beach“ išpuolio ji gavo 600 000 USD. „Lake City“ atnešė 460 000 USD, o „La Porte“ - 130 000 USD. Tikslus išpirkos dydis, atsižvelgiant į grėsmę, priklauso nuo aukos. Apskaičiuota, kad iki šiol „Ryuk“ reikalavo išmokų, esančių beveik 300 milijonų dolerių.


„Ryuk“ savo stulbinančiais išpirkos reikalavimais viršija kitas gerai žinomas išpirkos programinės įrangos grėsmes - šaltinis: Coveware.com.


„Ryuk Ransomware“ vidurkis „Ransom“, palyginti su „Ransomware Marketplace“ - Šaltinis: Coveware.com.

Kalbant apie išpirkos programinę įrangą, išmoka už išpirką ne visada lygi duomenų iššifravimui. Dauguma panašių grėsmių paprastai nesilaiko pažadų atsiųsti iššifravimo raktą gavę pinigus. Anot kibernetinių tyrinėtojų, „Ryuk“ šia prasme yra labiau patikimas nei kitos tokios infekcijos. 88% atvejų mokėjimas sėkmingai iššifruoja.


„Ryuk ransomware“ rezultatas - Šaltinis: Coveware.com.

„Ryuk“ nulaužė 80 000 kompiuterių 110 slaugos namuose ir ligoninėse JAV

„Ryuk“ kibernetinį marą pradėjo Rusijos įsilaužėliai. 2019 m. Lapkričio 17 d. Debesų prieglobos įmonė „Virtual Care Provider Inc.“ (VCPI), įsikūrusi Milvokyje, Viskonsine, tapo išpirkos programos auka. Tas išpuolis sukėlė baisių padarinių . Anot „Virtual Care Provider Inc.“ atstovo, išpuolis prieš juos buvo sugadintas daugiau nei 80 000 kompiuterių. 110 ligoninių ir slaugos namų buvo užklupti ir negalėjo užtikrinti tinkamos pacientų priežiūros.

Iš esmės sistemos, kurias Ryukas užpuolė keliuose slaugos namuose ir ligoninėse, paliko gyvybes kabančias pusiausvyroje. Išpuolis apėmė 45 valstijas ir tuo metu sustabdė šių įstaigų galimybes pasirūpinti savo klientais ir pacientais. Laimei, kai kuriems objektams jie turėjo pinigų, kad sumokėtų išpirkos reikalavimus, tačiau kiti, atrodo, prarado dalį savo kritinių duomenų.

Kaip „Ryuk Ransomware“ padarė savo kelią į įmonės serverius?

„Ryuk“ išpirkos programinė įranga panaudojo apgaulę ir subtilumą įsiverždama į serverius. Piratų elektroninių laiškų darbuotojams siuntimas įsilaužėliams užtruko keletą mėnesių. El. Laiškuose buvo kenkėjiškų priedų, o paspaudę juos darbuotojai pasiūlė išpirkos programos kelią į įmonės vidinius serverius. Tai leido Rusijos įsilaužėliams paimti valdymą po vieną.

Tai strategija, į kurią „Ryuk“ dažnai kreipiasi - sukčiavimo el. Laiškai. Kitas būdas - naudotis nuotolinio darbalaukio protokolo prieiga. Įmonės, leidžiančios darbuotojams naudotis savo tinklais per nuotolinę prieigą, nesiimant tinkamos apsaugos, yra labiau linkusios į tokių grėsmių, kaip „Ryuk“, atakas.


„Ryuk Ransomware Common Attack“ vektoriai - Šaltinis: Coveware.com.

„Ryuk“ lašintuve yra ir 32, ir 64 bitų naudingosios apkrovos. Priklausomai nuo tikslinės sistemos, pasirenkamas, kurį naudoti. Prieš numesdamas naudingą krovinį, jis taip pat patikrina operacinės sistemos versiją ir veikia pagal tai.

Patekusi į grėsmę, ji nutraukia ir išjungia įvairius procesus ir paslaugas. Paprastai jie yra iš anksto apibrėžtame sąraše ir dažniausiai yra antivirusinių įrankių, duomenų bazių, atsarginių kopijų ir kitos programinės įrangos srityje.


„Ryuk“ išpirkos programų neleidžiamų paslaugų sąrašas - šaltinis: Zscaler.com.


Procesų, kuriuos nutraukia „Ryuk“ išpirkos programa, sąrašas - šaltinis: Zscaler.com.

Ligoniai, palikti be priežiūros dėl „Ryuk Ransomware“

Išpirkos programa užpuolė debesų duomenų prieglobos įmonę, kurioje saugomi ligoninės serveriai. Duomenų prieglobos įmonė šifruoja visus duomenis, įskaitant medicinos įrašus ir vaistų administravimo duomenis. Po to, kai „Ryuk“ išpirkos programinė įranga perėmė įmonės serverių valdymą, VCPI negalėjo pasiekti pacientų įrašų, sąskaitų duomenų, el. Pašto ir telefono sistemų, darbo užmokesčio operacijų ir net pagrindinių interneto paslaugų. Kibernetiniai pagrobėjai reikalavo 14 milijonų dolerių išpirkos. Kadangi VCPI ši kaina buvo per didelė, jie nemokėjo. Tai paskatino daugybę pacientų negauti reikiamos priežiūros. „Ryuk“ išpirkos programa iš tikrųjų sukėlė pavojų daugybės žmonių gyvybėms.

„Ryuk“ išpirkos programos auka taip pat tapo privati apsaugos įmonė, vadinama „Prosegur“. Dėl infekcijos užpuolimo įmonės tinklalapiai buvo neprisijungę prie kelių regionų. Dėl išpirkos programinės įrangos saugos signalizacijos neveikia! „Prosegur“ klientai ėmėsi „Twitter“ pranešti, kad neveikia jų aliarmai ir jie nebesijaučia saugūs savo namuose. Jie turi „Ryuk“ išpirkos programinę įrangą, kad už tai galėtų padėkoti.

Ekspertai mano, kad „Ryuk“ išpirkos programos tikslas nėra vogti duomenis per se, o greičiau išjungti infrastruktūrą, tiksliau serverius, ir sukurti „carfuffle“. Remiantis Nyderlandų nacionalinio kibernetinio saugumo centro pranešimais, „Ryuk“ išpirkos programa užpuolė apie 1800 didelių organizacijų visame pasaulyje. „Ryuk“ išpirkos programa turi „aukos“ tipą. Už tai esantys kibernetiniai nusikaltėliai dažniausiai naudojasi atakoms prieš vyriausybes, švietimo ir sveikatos priežiūros įstaigas, institucijas, užsiimančias energijos, vandens, komunalinių paslaugų paskirstymu - pramonės šakas tokiose srityse kaip statyba, chemija, sveikatos apsauga, maistas, pramogos ir kritinė infrastruktūra. .

2019 m. Kovo mėn. „Ryuk“ išpirkos programinė įranga paėmė JAV, Džordžijos valstijoje, už 400 000 USD. Išpirkos programos užfiksavo savo duomenis ir reikalavo didelės išpirkos sumos, kaip paprastai daro išpirkos programos. Kadangi jie neturėjo atsarginių kopijų, jie laikėsi ir sumokėjo. Laimei, apskritis gavo tinkamą iššifravimo raktą ir sugebėjo atgauti visus jų duomenis. Tačiau taip nėra daugelyje kitų išpirkos programų išpuolių. Paprastai nesvarbu, ar mokate, ar ne. Štai kodėl ekspertai pataria nesilaikyti taisyklių ir rekomenduoja visada kurti atsargines duomenų kopijas ir naudoti būtinus kovos su kenkėjiškomis programomis išteklius, kad būtų išvengta išpirkos programų išpuolių.

January 21, 2020
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.