Individuato il ransomware Ryuk: Quick Heal ti protegge efficacemente!

Recentemente i Quick Heal Security Lab hanno osservato un nuovo, dannosissimo, ransomware chiamato Ryuk. Questa campagna ransomware ha già colpito svariati utenti nel mondo e sembra caratterizzarsi per l'uso di attacchi di spear phishing.

Vedi anche >> Spear Phishing, che cosa è e come può compromettere la tua sicurezza

Ryuk cripta i file delle vittime, ma non vi aggiunge alcuna estensione: i file quindi non cambiano nome, ma divengono comunque illeggibili. Utilizza robusti algoritmi militari di criptazione, come "RSA4096" e "AES-256". I vettori di infezione sono, appunto, email di spam contenenti exploit kit. Ad oggi sono richiesti dai 15 ai 50 Bitcoin di riscatto per poter mettere di nuovo in chiaro i file.

Analisi tecnica

Dopo l'esecuzione del file principale, il ransomware scarica i seguenti file:

C:\Users\Public\public: contiene la chiave RSA pubblica.
C:\Users\Public\ UNIQUE_ID_DO_NOT_REMOVE: contiene la chiave predefinita.
C:\Users\Public\windows.bat: per cancellare le Shadow Voumes Copies e i backup.

Subito dopo, esegue taskkill e i comandi net per terminare oltre 40 processi e 180 tra i servizi richiesti dalla macchina. Sotto i dettagli:

Da ulteriori analisi è emerso che i processi e i servizi terminati sono principalmente collegati a database, antivirus, backup e software per l'editing di documenti. Sotto alcuni tra i processi che vengono terminati dal ransomware.

Ryuk usa anche alcuni comandi per creare una voce di registro che gli garantisca la persistenza anche in caso di riavvio del sistema.

Ryuk cripta tutti i drive locali escluse una serie di location che porta inserite direttamente nel codice: in questa sorta di whitelist troviamo Windows, Mozilla, Chrome, RecycleBin ecc.. Tenta anche la criptazione delle condivisioni di rete.

La nota di riscatto:

Ryuk scarica due note di riscatto, una molto breve, l'altro invece è visualizzabile in foto, sotto.

L'individuazione da parte di Quick heal

Quick Heal individua il ransomware Ryuk con successo e lo blocca con tre diversi livelli di protezione:

1. Protezione antivirus

2. Sistema di individuazione comportamentale

3. Anti Ransomware

Come restare al sicuro dai ransomware:

Usa un antivirus multi livello, che sia capace di bloccare le minacce in tempo reale.
Mantieni aggiornato il tuo antivirus.
Mantieni aggiornato il tuo sistema operativo, installa le patch critiche che vengono rilasciate ogni giorno.
Mantieni aggiornati tutti i software che hai sul tuo computer.
Non connettere mai i sistemi remoti direttamente ad Internet.
Non fare mai clic su link o su allegati contenuti in email provenienti da fonti sconosciute.
Esegui regolarmente, in una location sicura, il backup dei tuoi dati.
Disabilita le macro mentre usi MS Office.