Một phiên bản mới của Ryuk Ransomware đã được phát hành sẽ cố tình tránh mã hóa các thư mục thường thấy trong các hệ điều hành * NIX.
Sau khi Thành phố New Orleans bị nhiễm ransomware, họ xác nhận rằng thành phố đã bị nhiễm Ryuk Ransomware bằng cách sử dụng một tệp thực thi có tên v2.exe.
Sau khi phân tích mẫu v2.exe, nhà nghiên cứu bảo mật Vitali Kremez đã chia sẻ một thay đổi thú vị trong ransomware; nó sẽ không còn mã hóa các thư mục được liên kết với các hệ điều hành * NIX.
Danh sách các thư mục Ryuk trong danh sách đen * NIX là:
bin
boot
Boot
dev
etc
lib
initrd
sbin
sys
vmlinuz
run
var
Thoạt nhìn, có vẻ lạ là phần mềm độc hại Windows sẽ liệt kê các thư mục * NIX khi mã hóa tệp.
Thậm chí xa lạ, Kremez nói với chúng tôi rằng anh ta đã được hỏi nhiều lần rằng liệu có một biến thể Unix của Ryuk hay không khi dữ liệu được lưu trữ trong các hệ điều hành này đã được mã hóa trong các cuộc tấn công của Ryuk.
Một biến thể Ryuk của Linux / Unix không tồn tại, nhưng Windows 10 có một tính năng gọi là Hệ thống con Windows cho Linux (WSL) cho phép bạn cài đặt các bản phân phối Linux khác nhau trực tiếp trong Windows. Các cài đặt này sử dụng các thư mục có cùng tên trong danh sách đen như được liệt kê ở trên.
Với sự phổ biến ngày càng tăng của WSL, các diễn viên Ryuk có khả năng đã mã hóa một máy Windows tại một số điểm cũng ảnh hưởng đến các thư mục hệ thống * NIX được sử dụng bởi WSL. Điều này sẽ khiến các cài đặt WSL này không còn hoạt động.
“Họ chắc chắn có các trường hợp ảnh hưởng đến môi trường WSL, có khả năng dẫn họ vào danh sách đen các thư mục NIX giống như với Windows. Nó mới đối với tôi và có thể giải thích tại sao Ryuk và Ryuk ảnh hưởng đến máy NIX thông qua WSL”, Kremez cho biết.
Vì mục tiêu của hầu hết các ransomware thành công là mã hóa dữ liệu của nạn nhân, nhưng không ảnh hưởng đến chức năng của hệ điều hành, thay đổi này có ý nghĩa.
Với các thư mục này được đưa vào danh sách đen, Ryuk loại bỏ thêm một vấn đề đau đầu mà họ sẽ cần phải giải quyết đối với một khách hàng trả tiền có cài đặt WSL bị phá hỏng.
