viernes, 27 de diciembre de 2019

Ryuk Ransomware deja de cifrar carpetas de Linux


Se lanzó una nueva versión del Ryuk Ransomware que evitará encriptar carpetas que se ven comúnmente en los sistemas operativos * NIX.

Después de que la ciudad de Nueva Orleans fue infectada por el ransomware, BleepingComputer confirmó que la ciudad fue infectada por el Ryuk Ransomware utilizando un ejecutable llamado v2.exe.

Después de analizar la muestra v2.exe, el investigador de seguridad Vitali Kremez compartió con BleepingComputer un cambio interesante en el ransomware; ya no cifraría las carpetas asociadas con los sistemas operativos * NIX.




Blacklist *NIX Folders
La lista de carpetas de Ryuk * NIX en la lista negra:
bin
boot
Boot
etc
dev lib
sbin
initrd sys
var
vmlinuz
run
A primera vista, parece extraño que un malware de Windows ponga en la lista negra * carpetas NIX al cifrar archivos.
Aún más extraño, Kremez nos dijo que le habían preguntado en numerosas ocasiones si había una variante Unix de Ryuk, ya que los datos almacenados en estos sistemas operativos se han cifrado en los ataques de Ryuk.
No existe una variante de Linux / Unix de Ryuk, pero Windows 10 contiene una característica llamada Subsistema de Windows para Linux (WSL) que le permite instalar varias distribuciones de Linux directamente en Windows. Estas instalaciones utilizan carpetas con los mismos nombres en la lista negra que se enumeran anteriormente.
Con la creciente popularidad de WSL, los actores de Ryuk probablemente cifraron una máquina Windows en algún momento que también afectó a las carpetas del sistema * NIX utilizadas por WSL. Esto habría causado que estas instalaciones WSL ya no funcionen.
"Definitivamente tienen casos que afectan los entornos WSL, lo que probablemente los llevó a poner en la lista negra las carpetas NIX como lo hacen de manera similar con las de Windows. Es nuevo para mí y podría explicar por qué Ryuk y cómo Ryuk afecta las máquinas NIX a través de WSL", dijo Kremez a BleepingComputer.
Como el objetivo del ransomware más exitoso es encriptar los datos de una víctima, pero no afectar la funcionalidad del sistema operativo, este cambio tiene sentido.
Con estas carpetas en la lista negra, Ryuk elimina un dolor de cabeza adicional con el que tendrían que lidiar para un cliente que paga cuyas instalaciones de WSL están arruinadas.


No olvides Compartir... 

Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes