Bitcoin Ransomware Na Nakalusot sa 100 US Enterprises Kumalat sa China

Isang ransomware virus na matagumpay na nakalusot sa higit sa 100 gobyerno at pribadong negosyo sa U.S. at sa buong mundo ay nakita sa China, ayon sa kamakailang Tencent Security ulat.

Tinatawag na Ryuk, ang nakapipinsalang code ay nagta-target sa "mga kumpanya ng logistik, kumpanya ng Technology at maliliit na munisipalidad" na may mataas na halaga ng data, na humihingi ng mga bounties na pataas na $5 milyon na binayaran sa Bitcoin, ayon sa Federal Bureau of Investigation (FBI).

Noong Enero, naisip na si Ryuk ang nasa likod ng isang hack ng Tribune Publishing, na nakakaapekto sa lahat ng mga outlet ng media conglomerate. Noong Hunyo, ang mga opisyal sa Lake City, Florida ay nagbayad ng $460,000 ransom matapos magdilim ang mga computer system ng lungsod. Ito ay dalawang linggo pagkatapos ng $600,000 na pag-hijack ng Riviera Beach, Florida.

Ang Ryuk ay naisip na isang binagong bersyon ng Hermes virus, na nag-debut noong Agosto 2018. Kumakalat ito sa mga karaniwang botnet at spam na pamamaraan, at pumapasok sa pamamagitan ng mga hindi nadepensang IP port.

Kapag na-install na, tatanggalin ng nakakahamak na malware ang lahat ng mga file na nauugnay sa panghihimasok, at pinapatay ang mga proseso ng antivirus, at sa gayon ay tinatakpan ang vector ng impeksyon. Sa ONE kaso, gayunpaman, nakahanap ang mga ahente ng FBI ng ebidensya na pinasok ni Ryuk sa pamamagitan ng isang brute force attack ng Remote Desktop Protocols.

Sumulat ang ahensya sa isang Flash:

"Pagkatapos na magkaroon ng access ang attacker sa network ng biktima, maaaring ma-download ang mga karagdagang tool sa pagsasamantala sa network... kapag naisakatuparan na, si Ryuk ay nagtatatag ng pagpupursige sa registry, nag-inject sa mga prosesong tumatakbo, LOOKS ng mga network na konektado sa mga file system, at nagsimulang mag-encrypt ng mga file."

Nag-drop din ang virus ng "RyukReadMe" na file na nagbubukas ng blackmail letter sa internet browser ng biktima. Ang html webpage ay naglilista lamang ng dalawang email address ng hacker sa itaas na kaliwang sulok, ang pangalan ng virus sa gitna ng page, at ang misteryosong pariralang "balanse ng shadow universe" sa kanang sulok sa ibaba.

Sinusubaybayan ng FBI ang virus mula noong 2018 at napansin ang ilang mga pagbabago. Iniulat na ang Chinese na variant ay sabay-sabay na nagpapatakbo ng 32- BIT at 64- BIT na blackmail module, na maaaring paganahin ang karagdagang ebolusyon ng bug.

Hindi pa ibinunyag kung gaano karaming mga negosyong Tsino ang nahawa sa oras ng paglalahad, o ang kabuuang halaga na natubos ng mga hacker.

Hindi nagbalik si Tencent ng Request para sa komento tungkol sa artikulong ito.

Hacker larawan sa pamamagitan ng Shutterstock