Интернет и безопасность

Ryuk Ransomware вносит в черный список IP-адреса и компьютеры

Новый вариант Ryuk Ransomware вносит в черный список IP-адреса и компьютеры, чтобы упростить процесс заражения

– Новый вариант Ryuk также сравнивает имя компьютера со строками «SPB», «spb», «MSK», «Msk» и «msk», чтобы упростить процесс заражения.
– Как только компьютер пройдет проверку, вариант с вымогателем зашифрует компьютер как обычно и добавит расширение .RYK к зашифрованным файлам.

Обнаружен новый вариант вымогателей Ryuk, заносящих в черный список IP-адреса, чтобы избежать шифрования уже затронутых компьютеров.

В чем дело?

Новый образец вымогателя Ryuk был обнаружен MalwareHunterTeam , который сообщил Bleeping Computer, что он поставляется с цифровым сертификатом. Позже этот образец был исследован исследователями безопасности Виталием Кремезом, и было обнаружено, что в последнем варианте рюкзака-вымогателя было несколько модификаций.

В ходе расследования Кремез обнаружил, что этот новый вариант будет проверять вывод «arp -a» для конкретных строк IP-адресов. Если IP-адрес совпадает с существующим, то вымогатель не будет шифровать компьютер.

Частичные строки IP-адресов, которые ищутся вымогателями, – это 10.30.4, 10.30.5, 10.30.6 и 10.31.32.

Черные списки компьютеров

Помимо внесения в черный список IP-адресов, этот новый вариант Ryuk также сравнивает имя компьютера со строками «SPB», «spb», «MSK», «Msk» и «msk», чтобы упростить процесс заражения. Если имя компьютера содержит любую из этих строк, то вариант не будет шифровать компьютер. Считается, что вариант вымогателей делает такие проверки, чтобы избежать шифрования компьютеров в России.

«МСК» может означать Москву, «СПБ» может быть Санкт-Петербург. Имена были определены, чтобы избежать заражения компьютеров в этих областях, сообщает Bleeping Computer.

Как работает процесс шифрования?

Как только компьютер пройдет проверку, вариант с вымогателем зашифрует компьютер как обычно и добавит расширение .RYK к зашифрованным файлам. После этого он выдает записку с требованием выкупа «RyukReadMe.html», которая информирует жертв о процессе оплаты. Жертв просят связаться с злоумышленниками по адресу sorcinacin @ protonmail [.] Com и neyhyretim @ protonmail [.] Com.

Теги
Показать больше

newsvan

В комментариях запрещены: нецензурная брань во всех видах, высказывания способствующие разжиганию межнациональной, межрелигиозной и иной розни, рекламные сообщения, провокации и оскорбления, а также комментарии, содержащие ссылки на сторонние сайты. Также просим вас не обращаться в комментариях к героям статей, политикам и международным лидерам — они вас не услышат. Бессодержательные, бессвязные и комментарии, требующие перевода с экзотических языков, а также конспирологические теории и проекции будут удаляться. Спасибо за понимание! 🤘
Close
Close

Обнаружен Adblock

Пожалуйста, поддержите нас, отключив блокировку рекламы