Ryuk Ransomware deja de cifrar carpetas Linux

Ryuk Ransomware deja de cifrar carpetas Linux

Se lanzó una nueva versión del Ryuk Ransomware que evitará encriptar carpetas que se ven comúnmente en los sistemas operativos * NIX.

Después de que la ciudad de Nueva Orleans fue infectada por el ransomware, se confirmó que la ciudad fue infectada por el Ryuk Ransomware utilizando un ejecutable llamado v2.exe.

Después de analizar la muestra v2.exe , el investigador de seguridad Vitali Kremez compartió con BleepingComputer un cambio interesante en el ransomware; ya no cifraría las carpetas asociadas con los sistemas operativos * NIX.

La lista de carpetas de Ryuk * NIX en la lista negra es: bin, boot, Boot, dev, etc, lib, initrd, sbin, sys, vmlinuz, run, var

A primera vista, parece extraño que un malware de Windows ponga en la lista negra * carpetas NIX al cifrar archivos.

Aún más extraño, Kremez nos dijo que se le había preguntado en numerosas ocasiones si había una variante Unix de Ryuk, ya que los datos almacenados en estos sistemas operativos se han cifrado en los ataques de Ryuk.

No existe una variante de Linux / Unix de Ryuk, pero Windows 10 sí contiene una característica llamada Subsistema de Windows para Linux (WSL) que le permite instalar varias distribuciones de Linux directamente en Windows. Estas instalaciones utilizan carpetas con los mismos nombres en la lista negra que se enumeran anteriormente.

Con la creciente popularidad de WSL, los actores de Ryuk probablemente encriptaron una máquina Windows en algún momento que también afectó las carpetas del sistema * NIX utilizadas por WSL. Esto habría causado que estas instalaciones WSL ya no funcionen.

"Definitivamente tienen casos que afectan los entornos WSL, lo que probablemente los llevó a poner en la lista negra las carpetas NIX como lo hacen de manera similar con las de Windows. Es nuevo para mí y podría explicar por qué Ryuk y cómo Ryuk afecta las máquinas NIX a través de WSL".

Como el objetivo del ransomware más exitoso es encriptar los datos de una víctima, pero no afectar la funcionalidad del sistema operativo, este cambio tiene sentido

Con estas carpetas en la lista negra, Ryuk elimina un dolor de cabeza adicional con el que tendrían que lidiar para un cliente que paga cuyas instalaciones de WSL están arruinadas.

Semrush sigue a tu competencia


Fecha actualizacion el 2019-12-27. Fecha publicacion el 2019-12-27. Categoria: ransomware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil