FOSSBYTES TECH SIMPLIFIED LOGO

Ryuk ransomware đã hoạt động từ tháng 8 năm 2018 và đã nhắm mục tiêu vào một số tổ chức lớn, yêu cầu tiền chuộc cao. Bây giờ, các tác giả đằng sau nó đã làm cho nó chết người hơn bằng cách truyền đạt những đặc điểm mới cho nó. Theo báo cáo của Máy tính Bleeping, Ryuk ransomware, giờ đây, sử dụng tính năng Wake-on-Lan để bật các thiết bị đã tắt trên mạng bị xâm nhập.

Wake-on-Lan là một tính năng phần cứng bật thiết bị ngoại tuyến trong mạng bằng cách gửi tin nhắn mạng. Tính năng này thường được quản trị viên mạng sử dụng để đẩy các bản cập nhật hoặc hoàn thành các tác vụ đã được lên lịch khi thiết bị bật nguồn.

Một phân tích của Trưởng phòng SentinelLabs ‘Vitali Kremez, cho thấy rằng khi Ryuk ransomware được thực thi, nó sẽ sinh ra các quy trình con với đối số’ 8 Lan ‘.

Ryuk ransomware đẻ trứng 8lan
Quá trình con sinh sản với 8 đối số Lan [Source: Bleeping Computer]

Khi thực thi đối số 8 Lan, phần mềm độc hại sẽ quét bảng Giao thức phân giải địa chỉ (ARP) của thiết bị được nhắm mục tiêu để lưu trữ thông tin về địa chỉ IP và địa chỉ MAC tương ứng. Nó kiểm tra xem các mục nhập có liên quan đến mạng con địa chỉ IP riêng của “10.”, “172.16” và “192.168” hay không.

Nếu kết quả là dương tính, Ryuk đánh thức thiết bị bằng cách gửi gói Wake-on-Lan (WoL) đến địa chỉ MAC. Sau khi yêu cầu WoL thành công, Ryuk sẽ gắn phần quản trị C $ của thiết bị. Nếu chia sẻ được gắn kết thành công, Ryuk sẽ mã hóa ổ đĩa của máy tính.

Gói Ryuk Ransomware WoL
Ryuk gửi một gói WoL [Source: Bleeping Computer]

Để tránh bị Ryuk ransomware tấn công, các quản trị viên mạng nên chỉ cho phép các gói Wake-on-Lan từ các thiết bị được phép.

This post is also available in: Spanish German Tiếng Việt Italian Indonesian

LEAVE A REPLY

Please enter your comment!
Please enter your name here