Genel Bakış
Ryuk Ransomware, kurumsal hedeflere yönelik en yıkıcı fidye yazılımlarından biridir. Bu örnek; süreç enjeksiyonu, token ayrıcalık yükseltme ve CryptoAPI tabanlı şifreleme tekniklerini içermektedir. Fidye notu RyukReadMe.html olarak bırakılmaktadır. Tipik Ryuk davranışı gereği, şifreleme için C2 kullanılmaz — RSA anahtarı binary'ye gömülüdür.
Teknik Analiz
Fidye Notu
- Not dosyası:
RyukReadMe.html - Her şifreli dizine bırakılır
Süreç Enjeksiyonu
VirtualAllocEx→ hedef süreçte bellek tahsisiWriteProcessMemory→ payload yazmaCreateRemoteThread→ uzak iş parçacığı çalıştırmaOpenProcess→ süreç erişimi
Token Ayrıcalık Yükseltme
OpenProcessToken→ süreç token'ına erişimOpenThreadToken→ iş parçacığı token'ıAdjustTokenPrivileges→ ayrıcalık ayarlamaSeDebugPrivilege→ debug ayrıcalığı (tüm süreçlere erişim)GetTokenInformation→ token bilgisi
Şifreleme
Microsoft Base Cryptographic Provider v1.0(CryptoAPI)- RSA key exchange + AES dosya şifreleme (binary'ye gömülü public key)
- Ağ bağlantısı gerektirmez — tüm şifreleme offline yapılır
Ek 속성ler
taskkill→ çalışan süreçleri sonlandırma (antivirüs, backup, DB)firefoxconfig→ tarayıcı profillerine erişim- XOR obfüskeli yapılandırma bloğu (binary içinde uzun rastgele görünen string)
imagebase: suspicious→ bellek düzeni manipülasyonu
Teknik 속성ler
| 속성 | 값 |
|---|---|
| 아키텍처 | PE32+ (x86-64) |
| 크기 | 207.872 bayt |
| Entropi | 5.03 (normal + XOR blob) |
| C2 | YOK (offline şifreleme) |
| Fidye Notu | RyukReadMe.html |
| Enjeksiyon | VirtualAllocEx + WriteProcessMemory + CreateRemoteThread |
IOC Özeti
- Fidye Notu: RyukReadMe.html
- Privilege: SeDebugPrivilege
- SHA256:
8da85cb00f7ba5e8c23b058d31a4b169c18936a8f7181015ce27e871d8b8cccd
IOC 목록 (1 개 지표)
IOC — Ryuk Ransomware
# SHA256
8da85cb00f7ba5e8c23b058d31a4b169c18936a8f7181015ce27e871d8b8cccd
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 8da85cb00f7ba5e8c23b058d31a4b169c18936a8f7181015ce27e871d8b8cccd |