2 месяца назад

Вирус-вымогатель Ryuk, за создателями которого охотится ФБР, был замечен в Китае

Ryuk в Китае
Ryuk в Китае

Согласно недавно вышедшему отчету Tencent Security, в Китае был обнаружено массовое заражение вирусом-вымогателем, который успешно проник в более чем 100 государственных учреждений и частные компании в США и за рубежом.

По словам Федерального бюро расследований (FBI), вредоносный код, названный «Ryuk», нацелен на «логистические компании, технологические компании и небольшие муниципалитеты» с высокой стоимостью данных и после успешного заражения требует вознаграждений свыше $5 млн, которые должны быть выплачены в биткоинах.

В январе Ryuk был замечен на компьютерах в издательстве Tribune Publishing, и он заразил все компьютеры данного СМИ-конгломерата. В июне чиновники в Лейк-Сити, штат Флорида, выплатили $460 000 выкупа после того, как компьютерные системы города также были захвачены этим вирусом-вымогателем. Это было через две недели после Ривьера-Бич, города в Флориде, который тоже был вынужден заплатить $600 000.

Предполагается, что Ryuk является модифицированной версией вируса Germes, который дебютировал в августе 2018 года. Он распространяется обычными методами ботнета и спама и проникает через незащищенные IP-порты устройств.

После установки вредоносная программа удаляет все файлы, связанные с вторжением, и берет под контроль антивирусные программы, тем самым защищая себя от обнаружения и удаления. В одном случае, агенты ФБР обнаружили доказательства того, что Ryuk вошел в систему методом перебора паролей.

«После того, как злоумышленник получит доступ к сети жертвы, он загружает дополнительные инструменты для управления компьютерами жертв и после выполнения этих действий Ryuk устанавливает свои элементы в реестре, внедряется в запущенные процессы, ищет файловые системы, подключенные к сети, и начинает шифрование файлов для дальнейшего вымогательства», — написал Tencent Security.

Вирус также устанавливает файл «RyukReadMe», который открывает письмо с шантажом в интернет-браузере жертвы. На html-странице перечислены только адреса электронной почты двух хакеров в верхнем левом углу, название вируса в центре страницы и загадочная фраза «баланс теневой вселенной» в правом нижнем углу.

ФБР отслеживает вирус с 2018 года и заметила ряд изменений. Сообщается, что китайский вариант одновременно запускает 32-битный и 64-битный модуль шантажа, что может свидетельствовать о дальнейшей эволюции вируса.

Пока не разглашается, сколько китайских предприятий было заражено на момент выхода новости, как и сумма выкупа, которую требуют хакеры.

Напомним, ранее мы писали, что Kaspersky Lab предупреждают о новом вирусе-вымогателе Sodin.

Читайте также:

Новый вирус-невидимка для майнинга криптовалют атакует Linux-системы

McAfee Labs сообщает о новом вирусе-майнере Monero и Zcash

Обнаружен эволюционирующий майнер-вредонос