En ransomwarevirus kaldet Ryuk er distribueret i Kina og kræver, at brugere af inficerede enheder betaler et stort beløb i BTC .
Tencent Security undersøgte Ryuk-virussen og fandt ud af, at den krypterer data på den inficerede enhed og kræver en løsesum fra BTC. Tilbagekøbet er normalt ret stort sammenlignet med lignende angreb tidligere og er for nylig steget til 11 BTC.
Virussen blokerer offersystemer ved hjælp af et moderne hackerprogram, hovedsageligt gennem bot-netværk. Det blev først opdaget i Nordamerika og bruger RSA og AES algoritmer til at kryptere ofrenes filer. Det ser ud til, at kampagnen er fokuseret, og dens ofre er offentlige myndigheder og private organisationer.
Ryuk kom fra Hermes-familien af koder, og de tidligste tegn på dens aktivitet kan spores tilbage til august 2018. Den bruger det meste af Hermes-koden, har den samme whiteliste-filtreringsmekanisme som Hermes-virussen og bruger også Hermes-strengsekvenserne selv for en unik filinfektionsmarkør.
Prøven fundet i Kina frigiver og lancerer forskellige moduler, der hjælper virussen med at udfolde sig og forbedre dens effektivitet yderligere. I de seneste angreb blev der brugt en dropper, der indeholdt både 32-bit og 64-bit moduler af virussen.
Når Ryuk starter, tjekker den, om den er blevet udført med et specifikt argument, og afbryder derefter mere end 40 processer og mere end 180 tjenester relateret til antivirus, databaser, software til sikkerhedskopiering og redigering af dokumenter.
Ifølge forskerne er næsten alle Ryuk De påviste virusprøver havde en unik BTC-adresse. Kort efter at offeret har betalt løsesummen, opdeler angriberne bitcoins og overfører dem til flere konti.
Afpresseren forbliver også på inficerede enheder og forsøger at kryptere netværksressourcer ud over lokale drev. Den ødelægger også dens krypteringsnøgle, skyggekopier og forskellige backupfiler fra disken for at forhindre brugere i at gendanne filer.
For nylig New York College Monroe blev angrebet af en afpresningsvirus - hackere krævede en løsesum på 170 BTC. Derudover betalte myndighederne i den amerikanske by Lake City i slutningen af sidste måned afpresserne en løsesum på 42 BTC efter angrebet af krypteringsvirussen.