Een ransomware-virus genaamd Ryuk wordt gedistribueerd in China en vereist dat gebruikers van geïnfecteerde apparaten een groot bedrag betalen in BTC .

Tencent Security onderzocht het Ryuk-virus en ontdekte dat het gegevens op het geïnfecteerde apparaat versleutelt en losgeld van de BTC vereist. De terugkoop is meestal vrij groot in vergelijking met soortgelijke aanvallen in het verleden en is onlangs gestegen tot 11 BTC.

Het virus blokkeert slachtoffersystemen met behulp van een modern hackerprogramma, voornamelijk via botnetwerken. Het werd voor het eerst ontdekt in Noord-Amerika en maakt gebruik van RSA en AES algoritmen om de bestanden van slachtoffers te versleutelen. Het lijkt erop dat de campagne gericht is, en de slachtoffers zijn overheidsinstanties en particuliere organisaties.

Ryuk kwam uit de Hermes-codefamilie en de vroegste tekenen van zijn activiteit zijn terug te voeren tot augustus 2018. Het gebruikt de meeste Hermes-code, heeft hetzelfde filtermechanisme op de witte lijst als het Hermes-virus en gebruikt ook de Hermes-reeksreeksen, zelfs voor een unieke markering voor bestandsinfectie.

Het monster gevonden in China geeft en lanceert verschillende modules die het virus helpen zich te ontvouwen en de efficiëntie ervan verder te verbeteren. Bij recente aanvallen werd een druppelaar gebruikt die zowel 32-bits als 64-bits modules van het virus bevat.

Wanneer Ryuk start, controleert het of het is uitgevoerd met een specifiek argument en onderbreekt vervolgens meer dan 40 processen en meer dan 180 services met betrekking tot antivirus, databases, software voor het maken van back-ups en het bewerken van documenten.

Volgens de onderzoekers hebben bijna alle Ryuk gedetecteerde virusmonsters hadden een uniek BTC-adres. Kort nadat het slachtoffer het losgeld heeft betaald, splitsen de aanvallers de bitcoins en zetten ze over naar verschillende accounts.

De afperser blijft ook op geïnfecteerde apparaten en probeert naast lokale schijven ook netwerkbronnen te versleutelen. Het vernietigt ook zijn coderingssleutel, schaduwkopieën en verschillende back-upbestanden van schijf om te voorkomen dat gebruikers bestanden herstellen.

Onlangs New York College Monroe werd aangevallen door een afpersend virus – hackers eisten een losgeld van 170 BTC. Daarnaast hebben de autoriteiten van de Amerikaanse stad Lake City eind vorige maand de afpersers een losgeld van 42 BTC betaald na de aanval van het encryptievirus.