Ryuk Ransomware останавливает шифрование папок Linux

Лоуренс Абрамс
  • 26 декабря 2019 г.
  • 12:15 вечера
  • 0

Была выпущена новая версия Ryuk Ransomware, которая намеренно избегает шифрования папок, обычно встречающихся в операционных системах NIX.

После того, как город Новый Орлеан был заражен с помощью вымогателей, BleepingComputer подтвердил, что город был заражен Ryuk Ransomware с использованием исполняемого файла v2.exe.

Проанализировав пример v2.exe, исследователь безопасности Виталий Кремез поделился с BleepingComputer интересным изменением в вымогателях; он больше не будет шифровать папки, связанные с операционными системами NIX.

Список папок NIX Ryuk в черном списке:

Ryuk Ransomware останавливает шифрование папок Linux

На первый взгляд кажется странным, что вредоносная программа Windows заносит в черный список папки NIX при шифровании файлов.

Еще более странно, что Kremez сказал нам, что его много раз спрашивали, существует ли вариант Ryuk для Unix, поскольку данные, хранящиеся в этих операционных системах, были зашифрованы при атаках Ryuk.

Вариант Ryuk для Linux / Unix не существует, но в Windows 10 есть функция, называемая подсистемой Windows для Linux (WSL), которая позволяет устанавливать различные дистрибутивы Linux непосредственно в Windows. В этих установках используются папки с теми же именами, которые перечислены в черном списке.

С ростом популярности WSL актеры Ryuk, вероятно, в какой-то момент зашифровали машину Windows, что также затронуло системные папки NIX, используемые WSL. Это привело бы к тому, что эти установки WSL перестали работать.

«У них определенно есть случаи, затрагивающие среды WSL, которые, вероятно, привели к тому, что они занесли в черный список папки NIX, так же, как и в Windows. Это новость для меня и может объяснить, почему Ryuk и как Ryuk влияет на машины NIX через WSL». сказал Кремез BleepingComputer.

Поскольку целью большинства успешных вымогателей является шифрование данных жертвы, но не влияющих на функциональность операционной системы, это изменение имеет смысл

Благодаря тому, что эти папки находятся в черном списке, Ryuk устраняет дополнительную головную боль, с которой им придется столкнуться платящему клиенту, чьи установки WSL разрушены.