Вирус-вымогатель Bitcoin , проникший в 100 американских предприятий, распространяется на Китай

По данным недавнего отчета Tencent Security, в Китае был обнаружен вирус-вымогатель, который успешно проник в более чем 100 государственных и частных предприятий в США и по всему миру.отчет.

По данным Федерального бюро расследований (ФБР), вредоносный код, получивший название Ryuk, нацелен на «логистические компании, Технологии компании и небольшие муниципалитеты» с высокой ценностью данных и требует вознаграждения в размере более 5 миллионов долларов в Bitcoin.

В январе считалось, что Рюк стоит за взломом Tribune Publishing, затронувшим все издания медиаконгломерата. В июне чиновники Лейк-Сити, Флорида, выплатили выкуп в размере 460 000 долларов после того, как компьютерные системы города вышли из строя. Это произошло через две недели после угона на сумму 600 000 долларов в Ривьера-Бич, Флорида.

Считается, что Ryuk — это модифицированная версия вируса Hermes, который дебютировал в августе 2018 года. Он распространяется через обычные ботнеты и спам-методы и проникает через незащищенные IP-порты.

После установки вредоносное ПО удаляет все файлы, связанные с вторжением, и убивает антивирусные процессы, тем самым скрывая вектор заражения. Однако в ONE случае агенты ФБР обнаружили доказательства того, что Ryuk вошел через атаку методом подбора пароля Remote Desktop Protocols.

Агентство написало вВспышка:

«После того, как злоумышленник получит доступ к сети жертвы, могут быть загружены дополнительные инструменты сетевой эксплуатации… После запуска Ryuk создает постоянство в реестре, внедряется в запущенные процессы, LOOKS подключенные к сети файловые системы и начинает шифровать файлы».

Вирус также сбрасывает файл «RyukReadMe», который открывает шантажное письмо в интернет-браузере жертвы. На веб-странице html указаны только адреса электронной почты двух хакеров в верхнем левом углу, название вируса в центре страницы и загадочная фраза «balance of shadow universe» в нижнем правом углу.

ФБР отслеживает вирус с 2018 года и заметило ряд модификаций. Сообщается, что китайский вариант одновременно запускает BIT и 64- BIT модуль шантажа, что может способствовать дальнейшей эволюции ошибки.

На момент публикации статьи количество зараженных китайских предприятий и общая сумма выкупа, полученного хакерами, не разглашаются.

Tencent не ответила на Request о комментарии относительно этой статьи.

Хакеризображение через Shutterstock