Genel Bakış

Ryuk Ransomware, kurumsal hedeflere yönelik en yıkıcı fidye yazılımlarından biridir. Bu örnek; süreç enjeksiyonu, token ayrıcalık yükseltme ve CryptoAPI tabanlı şifreleme tekniklerini içermektedir. Fidye notu RyukReadMe.html olarak bırakılmaktadır. Tipik Ryuk davranışı gereği, şifreleme için C2 kullanılmaz — RSA anahtarı binary'ye gömülüdür.

Teknik Analiz

Fidye Notu

  • Not dosyası: RyukReadMe.html
  • Her şifreli dizine bırakılır

Süreç Enjeksiyonu

  • VirtualAllocEx → hedef süreçte bellek tahsisi
  • WriteProcessMemory → payload yazma
  • CreateRemoteThread → uzak iş parçacığı çalıştırma
  • OpenProcess → süreç erişimi

Token Ayrıcalık Yükseltme

  • OpenProcessToken → süreç token'ına erişim
  • OpenThreadToken → iş parçacığı token'ı
  • AdjustTokenPrivileges → ayrıcalık ayarlama
  • SeDebugPrivilege → debug ayrıcalığı (tüm süreçlere erişim)
  • GetTokenInformation → token bilgisi

Şifreleme

  • Microsoft Base Cryptographic Provider v1.0 (CryptoAPI)
  • RSA key exchange + AES dosya şifreleme (binary'ye gömülü public key)
  • Ağ bağlantısı gerektirmez — tüm şifreleme offline yapılır

Ek 項目ler

  • taskkill → çalışan süreçleri sonlandırma (antivirüs, backup, DB)
  • firefoxconfig → tarayıcı profillerine erişim
  • XOR obfüskeli yapılandırma bloğu (binary içinde uzun rastgele görünen string)
  • imagebase: suspicious → bellek düzeni manipülasyonu

Teknik 項目ler

項目
アーキテクチャPE32+ (x86-64)
サイズ207.872 bayt
Entropi5.03 (normal + XOR blob)
C2YOK (offline şifreleme)
Fidye NotuRyukReadMe.html
EnjeksiyonVirtualAllocEx + WriteProcessMemory + CreateRemoteThread

IOC Özeti

  • Fidye Notu: RyukReadMe.html
  • Privilege: SeDebugPrivilege
  • SHA256: 8da85cb00f7ba5e8c23b058d31a4b169c18936a8f7181015ce27e871d8b8cccd

IOCリスト (1 件の指標)

IOC — Ryuk Ransomware
# SHA256 8da85cb00f7ba5e8c23b058d31a4b169c18936a8f7181015ce27e871d8b8cccd
タイプメモ
sha256 8da85cb00f7ba5e8c23b058d31a4b169c18936a8f7181015ce27e871d8b8cccd
タグ
ransomwareryukinjectionvirtualalloccreateremotethreadsedebugprivilegecryptoapiaesrsaofflinefidye