Usuń wirusa Ryuk (Poradnik usuwania wirusa) - Ostatnia aktualizacja, sie 2018

Czym jest Ransomware Ryuk?

Ryuk to wirus ransomware, który zaczął atakować przedsiębiorstwa na całym świecie

Ryuk to wirus ransomware, który już zaatakował i zaszyfrował dane kilku organizacji, centrów danych oraz komputerów. Według licznych spekulacji, wirus ten pochodzi z tej samej rodziny, co ransomware Hermes, który jest powiązywany z niesławną grupą Lazarus. Po tym, jak dostanie się do systemu, Ryuk szyfruje systematycznie wybierane danei czyni je niedostępnymi do użytku. Dodatkowo, generuje żądanie okupu nazwane RyukReadMe.txt na pulpicie i wszystkich folderach znalezionych na komputerze ofiary. Domagają się one od ofiary przekazania wysokiego okupu (15 – 50 Bitcoinów, w zależności od liczby zaszyfrowanych danych) na podany portfel Bitcoin. Poinformowano, że hakerzy stojący za tym atakiem, do tej pory zarobili już 640 tysięcy dolarów.

Badacze wciąż starają się zidentyfikować metody rozpowszechniania się Ryuka – spekuluje się, że rozpowszechnia się on w formie załącznika w phishingowym mailu zazwyczaj przedstawiającym się jako faktura, raport biznesowy, itd. Dodatkowo, hakerzy bardzo często wykorzystują niewystarczająco chronione ustawienia protokołu dostępu zdalnego do atakowania przedsiębiorstw.

By działać na komputerze, Ryuk musi najpierw uzyskać uprawnienia administracyjne. Dlatego też każdy atak musi być ostrożnie planowany – hasła zebrane, sieć zmapowana itd. To sprawia, że badacze z Check Point wierzą, że infekcja jest ostrożnie kierowana przez zaawansowanych hakerów, doświadczonych w kierowanych atakach.

Eksperci z Check Point, którzy ostatnio przeanalizowali ransomware’a Ryuk wskazali, że malware ten wykazuje bardzo mocnoe podobieństwo do ransomware’a Hermes 2.1 – wirusa rozpowszechnianego przez hakerów z grupy Lazarus, dawniej powiązanej z północnokoreańską armią.

Ransomware Ryuk – działanie

Przed zainfekowaniem systemu, Ryuk wyłącza 180 usług i ponad 40 procesów działających w systemie. Malware wykonuje komendy taskkill oraz net stop na procesach znajdujących się na specjalnej liście.

Wirus Ryuk następnie aktywuje aplikację kIUAm.exe, która jest uruchamiana po tym, jak ofiara włączy ponownie komputer. Chwilę później, szyfruje ona dane ofiary, np. dokumenty biznesowe, raporty, zdjęcia, wideo, bazy danych oraz inne informacje osobiste określonymi rozszerzeniami, korzystając z kombinacji szyfrów RSA-4096 oraz AES-256.

Po udanym zaszyfrowaniu, wirus generuje żądania okupu nazwane RyukReadMe.txt oraz UNIQUE_ID_DO_NOT_REMOVE.txt o następującej treści:

All files on each host in the network have been encrypted with a strong algorithm.
Backups were either encrypted or deleted or backup disks were formatted.
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
We exclusively have decryption software for your situation
No decryption software is available in the public.
DO NOT RESET OR SHUTDOWN – files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.
This may lead to the impossibility of recovery of the certain files.
To get info (decrypt your files) contact us at
MelisaPeterman@protonmail.com
or
MelisaPeterman@tutanota.com
BTC wallet:
[link]
Ryuk
No system is safe

Jeśli wirus zaatakuje przedsiębiorstwo bądź instytucję, pozostawia takie żądanie:

Gentlemen!
Your business is at serious risk.
There is a significant hole in the security system of your company.
We’ve easily penetrated your network.
You should thank the Lord for being hacked by serious people not some stupid schoolboys or dangerous punks.
They can damage all your important data just for fun.
Now your files are crypted with the strongest millitary algorithms RSA4096 and AES-256.
No one can help you to restore files without our special decoder.
Photorec, RannohDecryptor etc. repair tools are useless and can destroy your files irreversibly.
If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files
(Less than 5 Mb each, non-archived and your files should not contain valuable information
(Databases, backups, large excel sheets, etc.)).
You will receive decrypted samples and our conditions how to get the decoder.
Please don’t forget to write the name of your company in the subject of your e-mail.
You have to pay for decryption in Bitcoins.
The final price depends on how fast you write to us.
Every day of delay will cost you additional +0.5 BTC
Nothing personal just business
As soon as we get bitcoins you’ll get all your decrypted data back.
Moreover you will get instructions how to close the hole in security and how to avoid such problems in the future
+ we will recommend you special software that makes the most problems to hackers.
Attention! One more time !
Do not rename encrypted files.
Do not try to decrypt your data using third party software.
P.S. Remember, we are not scammers.
We don’t need your files and your information.
But after 2 weeks all your files and keys will be deleted automatically.
Just send a request immediately after infection.
All data will be restored absolutely.
Your warranty – decrypted samples.
contact emails
eliasmarco@tutanota.com
or
CamdenScott@protonmail.com
BTC wallet:
[link]
No system is safe

Usunięcie ransomware’a Ryuk nie da użytkownikiem dostępu do plików – pozbędzie się tylko samej infekcji. Zalecamy korzystanie z zaufanego oprogramowania jak FortectIntego czy SpyHunter 5Combo Cleaner, które zdolne jest do zniszczenia wszystkich śladów malware.

Hakerze próbują przekonać ofiary, że zapłata okupu jest dobrym pomysłem (twierdzą nawet, że ujawnią luki w zabezpieczeniach i pokażą, jak je naprawić) – eksperci nie zalecają jednak tego robić. Ludzie Ci reprezentują rozbudowaną organizację przestępczą i nie można im ufać. Dodatkowo, mimo ostrzeżeń przestępców, powinieneś pozbyć się wirusa Ryuk tak szybko, jak to możliwe.

Zapobieganie wirusom wymaga ostrożności i uwagi podczas przeglądania wiadomości mailowych

Według ekspertów komputerowych, wirus korzysta z wiadomości phishingowych, by dostać się na systemy komputerów. Zazwyczaj, wiadomości te są wysyłane do firm w celu zwiększenia liczby zainfekowanych plików i uzyskania większego okupu. Uważaj – jedno kliknięcia na zainfekowany załącznik wystarczy na zainfekowanie ransomware’m. Wiadomości te mogą być też wypełnione wiarygodnymi logotypami, adresami i podobnymi informacjami, które mogą zwiększyć szanse na zainfekowanie ofiary wirusem ransomware.

By uniknąć straty ważnych danych, musisz być niezwykle ostrożny, jeśli chodzi o wiadomości mailowe od nieznanych nadawców. Upewnij się, że sprawdzisz każdą linijkę znajdującą się w wiadomości i sprawdzisz zaufanie linków, które zostały Tobie wysłane.

Aby usunąć ransomware’a Ryuk z systemu, musisz wykonać kilka zadań

Przy usuwaniu ransomware’a Ryuk upewnij się, że nie będziesz tego robić ręcznie. Jest to poważny wirus podróżujący z wieloma komponentami, które mogą być znalezione tylko poprzez uruchomienie pełnego skanu systemu programem anty-spyware. W takim wypadku zalecamy programy FortectIntego, SpyHunter 5Combo Cleaner lub Malwarebytes, które są na tyle silne, by walczyć z takim skomplikowanym malware. Programy te pomogą nie tylko pozbyć się zainfekowanych plików, lecz także naprawią rejestr, który zazwyczaj jest zmieniony przez wirusa.

Niestety, po usunięciu ransomware’a Ryuk z systemu, Twoje pliki dalej będą zaszyfrowane. Dzieje się tak dlatego, że klucz deszyfrujący potrzebny do odzyskania ich znajduje się na zdalnym serwerze należącym do twórców tego ransomware’a. Nie bądź jednak desperatem i pomyśl, czy posiadasz dodatkowe kopie zaszyfrowanych danych na dyskach zewnętrznych. Jeśli nie – skorzystaj z poniższych wskazówek, by rozszyfrować pliki zablokowane przez Ryuka.