Вымогатель Ryuk обрел функции самораспространения по локальным сетям

Татьяна Никитина 01 Марта 2021 - 15:32

...

Вымогатель Ryuk обрел функции самораспространения по локальным сетям

Выявлена версия шифровальщика Ryuk, способная самостоятельно распространяться на другие Windows-устройства в локальной сети. Для запуска копий вредоносного кода на пораженных машинах создается запланированное задание.

Самоходный образец Ryuk обнаружили в начале текущего года исследователи из Национального управления по вопросам безопасности информационных систем Франции (Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI). Анализ показал (PDF), что новый вариант зловреда собран из разнородных opensource-компонентов, перекомпилирован и забэкдорен.

При запуске обновленный Ryuk пытается скопировать себя на все компьютеры, доступные по сети через Windows-сервис вызова удаленных процедур (RPC). Чтобы отыскать их, вредонос генерирует все возможные варианты IP-адресов и отсылает на них пинг-запросы IMCP.

Более того, он также пытается добраться до устройств в дежурном режиме, используя списки, загруженные в кеш ARP из маршрутизаторов подсетей. По всем адресам, обнаруженным в ARP-таблице, шифровальщик рассылает пакет WOL (Wake-on-LAN) — эту технику дистанционного включения устройств по сети Ryuk освоил год назад. Если на найденных таким образом устройствах открыты ресурсы совместного доступа, зловред пытается подключить их, чтобы зашифровать содержимое.

Запуск копий Ryuk (rep.exe или lan.exe), расселившихся по сети, осуществляется путем создания запланированной задачи с помощью Windows-утилиты schtasks.exe. Механизмов блокировки повторного заражения у новой версии нет.

Поскольку ее распространение на другие узлы осуществляется посредством использования аккаунта привилегированного пользователя домена, этот процесс можно приостановить заменой пароля. Можно также отключить этот аккаунт, а затем сменить пароль к сервисной учетной записи KRBTGT в Active Directory. Не исключено, что такая мера, по свидетельству ANSSI, приведет к дестабилизации служб KDC (Kerberos Distribution Center) в домене и, возможно, потребует перезапуска многих устройств, однако дальнейшее распространение инфекции будет остановлено.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 01 Ноября 2025 - 09:18

Мошенничество Онлайн-мошенничество Общее Защита от мошенничества

Психологи СГУ научились измерять уязвимость человека к кибервоздействию

В Саратовском государственном университете имени Н. Г. Чернышевского создали методику, которая помогает определить, насколько человек подвержен влиянию в интернете. Разработка может использоваться для профилактики мошенничества и в сфере кибербезопасности, сообщили в пресс-службе вуза.

Методика, как сообщает ТАСС, представляет собой опросник, позволяющий понять, насколько человек склонен доверять чужому мнению онлайн и без раздумий выполнять «указания» из Сети.

По словам разработчиков, инструмент может применяться в колледжах и вузах для раннего выявления повышенной уязвимости, а также в социальных службах, бизнесе и при создании антимошеннических коммуникаций — например, предупреждающих сообщений, адаптированных под конкретную аудиторию.

«Понимание механики подчинения в сети помогает разрабатывать сообщения, рассчитанные на профилактику опасных установок, — отметили в СГУ. — Методика будет полезна не только специалистам по безопасности, но и родителям, педагогам и психологам».

Исследованием руководила профессор кафедры социальной психологии образования и развития Татьяна Белых. Она пояснила, что в обычной жизни дезадаптивная подчиняемость проявляется как слепое следование указаниям «авторитетов», которое может идти вразрез со здравым смыслом и собственными ценностями. В интернете это часто проявляется в доверчивом поведении — от «звонков из банка» и фейковых инвестиций до участия в сомнительных флешмобах.

Учёные превратили эту уязвимость в измеряемый показатель. На основе реальных примеров сетевого воздействия они сформировали 39 утверждений о причинах послушного поведения онлайн, из которых после статистической обработки оставили 19. В исследовании участвовали 550 человек из разных регионов России — от Москвы до Грозного.

Методика выделяет три типа подчиняемости:

импульсивно-отзывчивый — человек быстро откликается на просьбы и реагирует на «важные» сигналы;
тревожно-чувствительный — проявляется в повышенной мнительности и готовности действовать «ради спокойствия»;
конформно-наивный — вера в безусловную надёжность онлайн-авторитетов и желание «быть как все».

«Не интернет делает нас послушнее, — подчёркивает Татьяна Белых. — Всё зависит от нашей психологической готовности и умения сопротивляться давлению в Сети».

Исследование выполнено при поддержке Российского научного фонда.