Все новости о вирусах и антивирусах

[San-Sanich.]

«Код безопасности» и «Лаборатория Касперского» стали партнёрами

Работающие в сфере информационной безопасности компании «Лаборатория Касперского» и «Код безопасности» объявили о начале технологического сотрудничества.
В рамках партнёрского соглашения «Код безопасности» получила право интегрировать в свои продукты ряд технологических решений «Лаборатории Касперского». В частности, компания дополнит свои защитные комплексы Secret Net Studio и «Континент 4» антивирусным модулем на базе Kaspersky Anti-Virus SDK и технологией потокового сканирования Kaspersky SafeStream II.

Спойлер   :

По условиям договора, продажи лицензий на интегрированные продукты будут осуществляться как на территории РФ, так и в странах СНГ.



В опубликованном партнёрами информационном сообщении подчёркивается, что на первом этапе сотрудничество затронет направления защиты конечных устройств и корпоративных сетей. В дальнейшем «Код безопасности» и «Лаборатория Касперского» планируют распространить партнёрство и на область обеспечения безопасности виртуальных сред.
«Мы уже более 20 лет успешно интегрируем свои технологии в программные и аппаратные решения технологических партнёров по всему миру. Соглашение о партнёрстве с «Кодом безопасности» поможет обеспечить надёжную защиту от вредоносных программ в десятках тысяч компаний и организаций России и ближнего зарубежья, что даст возможность пользователям решений нашего партнёра снизить риск потерь от действий киберпреступников», — прокомментировал подписанное соглашение Сергей Земков, управляющий директор «Лаборатории Касперского» в России и странах СНГ.

[student]

В Apple обьявили,что утекший код являлся устаревшим

Как сообщалось от 08.02.18 , на портале GitHub появился в открытом доступе исходный код iBoot – центральный компонент мобильной операционной системы iOS. Учитывая меры, которые предпринимает Apple, чтобы сохранить в секрете исходные коды своих продуктов, специалисты успели окрестить публикацию «крупнейшей утечкой в истории». Реакция Apple не заставила себя ждать. Корпорация обратилась к администраторам GitHub с жалобой, в которой указала, что публикация нарушает Закон о защите авторских прав в цифровую эпоху (Digital Millennium Copyright Act – DMCA). После чего страница с кодом iBoot была удалена с ресурса. Впрочем, к этому моменту код был уже многократно скопирован, и найти его в сети не составляет особого труда.

Одновременно Apple объявила о том, что опубликованный код относится к версии операционной системы iOS 9, выпущенной еще в 2015 году. Поэтому любые потенциальные уязвимости, которые могут быть обнаружены в утекшем iBoot, с высокой степенью вероятности не несут никакой угрозы пользователям iOS 10 (выпущена в сентябре 2016) и более новых версий. Согласно статистике самой корпорации, лишь порядка 7 процентов всех мобильных Apple-устройств до сих пор используют iOS 9 либо более ранние версии системы. Это, конечно, утешительная цифра. С другой стороны, согласно той же статистике, еще два года назад число мобильных устройств от Apple в мире перевалило за 1 миллиард. Соответственно, скромные 7 процентов – это никак не меньше 70 миллионов устройств. И их владельцам определенно стоит, наконец, обновить свои операционные системы.

[student]

Тайный майнинг обрел имя

Английский язык пополнился новым словом, а учитывая скорость, с которой его термины заимствуются русским языком (особенно в технологической сфере), можно ожидать, что скоро оно станет привычным и для нас. Это слово «криптоджекинг» (cryptojacking) – «гибрид» терминов cryptocurrency (криптовалюта) и hijacking (похищение, угон). Означает оно явление, возникшее во второй половине прошлого года и получившее, к сожалению, огромную популярность. Это тайный майнинг криптовалют – использование вычислительных мощностей пользовательских устройств для добычи криптовалюты в кошельки хакеров.

Киберпреступники внедряют вредоносный код на популярные онлайн-ресурсы. При их посещении компьютеры или другие устройства пользователей начинают генерировать криптовалюту. В каком-то смысле такой способ заработка менее опасен для пользователей, чем, скажем, атаки зловредов-шифровальщиков. Однако максимальное использование мощностей процессора ведет, как минимум, к перегреву и снижению быстродействия устройств, а также существенно увеличивает энергопотребление.

Спойлер   :

Хакеры, принявшие на вооружение криптоджекинг, естественно, охотятся на ресурсы, наиболее востребованные пользователями интернета. Очередным таким ресурсом стал форум Deepfakes, посвященный еще одному новому и не слишком приятному явлению последнего времени. Несколько месяцев назад один из пользователей Reddit выложил в сеть приложение Deepfakes и несколько созданных с его помощью видеороликов. Deepfakes позволяет изменять лица, «вставляя» в видео любых персонажей. Подобные попытки предпринимались и ранее, но приложение использует возможности искусственного интеллекта и позволяет достичь такого уровня реалистичности, при котором распознать подделку очень сложно.

Разумеется, пользователи первым делом принялись создавать  задорнографические ролики «с участием» популярных актеров, политиков и т.д. Этичность этого «творчества», мягко говоря, сомнительна. Страница приложения была удалена с Reddit, а Deepfakes-контент уже запрещен на многих ведущих ресурсах (включая и  задорнографические). Но это не останавливает желающих создать «горячее» видео с участием любимой кинозвезды или, допустим, собственного босса.

Они создали Deepfakes-форум, который пользуется огромной популярностью не только у обычных пользователей, но и у хакеров. Как сообщила компания Malwarebytes, на форуме обнаружен вредоносный код, использующий мощности всех посетителей для генерирования криптовалюты Monero.

[student]

Олимпийский старт хакеров

Опасения экспертов относительно того, что Зимние олимпийские игры в Пхенчхане станут мишенью для хакерских атак, подтвердились в первый же день Олимпиады. В пятницу, незадолго до старта церемонии открытия, неизвестным киберпреступникам удалось взломать внутренние серверы оргкомитета и вывести из строя официальный сайт Зимних олимпийских игр, а также публичную сеть Wi-Fi, предназначенную для гостей и участников.

По другой информации, сайт и беспроводную сеть отключили сами организаторы, обнаружив вредоносную активность. Атака продолжалась на протяжении 12 часов и вызвала ряд существенных проблем. В частности, некоторые гости не смогли вовремя распечатать свои билеты на церемонию открытия.

Официальный представитель оргкомитета Сун Байк Ю подтвердил факт кибератаки и сообщил, что ее последствия были полностью ликвидированы к утру субботы. Он также отметил, что подобные инциденты – не редкость для Олимпийских игр. Сун Байк Ю сообщил, что организаторы совместно с Международным олимпийский комитетом ведут тщательное расследование произошедшего и до его завершения не намерены делиться никакой информацией относительно того, кто может стоять за атакой.

[student]

В снимках Скарлетт Йохансон спрятали вирус


Хакеры начали использовать фотографию голливудской актрисы Скарлетт Йохансон, чтобы распространять майнер криптовалюты Monero. Об этом сообщается в блоге компании по кибербезопасности Imperva.

Аналитики утверждают, что хакеры атакуют серверы системы управления базами данных (СУБД) PostgreSQL. Вредоносная программа скрыта в снимке голливудской звезды, который хакеры нашли на фотохостинге imagehousing.com.

Если жертва скачивает фотографию, опасное ПО автоматически подбирает пароль к аккаунту дефолтного пользователя СУБД методом перебора. После этого вредоносная программа запускает команды для установки майнера.

По данным Imperva, на счетах хакеров числится более 300 монет Monero (почти 90 тысяч долларов).

PostgeSQL — широко используемая база данных с открытым исходным кодом. В интернете работает около 710 тысяч уязвимых серверов этой СУБД, половина которых размещается в облаках AWS.

В начале марта хакеры попытались заразить криптомайнером 400 тысяч компьютеров российских пользователей. Массовая кибератака была зафиксирована специалистами компании Microsoft.

[student]

Создатель трех зловредов-шифровальщиков арестован в Польше

Польская полиция при содействии Европола провела операцию по задержанию известного хакера, скрывавшегося под ником Armaged0n. Им оказался гражданин Польши Томаш Т. (фамилия не разглашается в интересах следствия), проживавший в последнее время в Бельгии. Он был арестован в ходе недавнего визита на родину. Одновременно правоохранители Бельгии провели обыск в его квартире и изъяли компьютерное оборудование. Хранящиеся на нем данные подтверждают, по версии обвинения, причастность Томаша Т. к множеству киберпреступлений. В настоящий момент ему предъявлены обвинения в 181 противоправном деянии.

Предполагается, что хакер начал свою активность еще в 2013 году, создав зловред, который подменял номера банковских счетов в буфере обмена. В результате пользователи, совершая платежи онлайн, переводили средства не на нужный им счет, а на счет Томаша Т. С 2017 года он переключился на кибервымогательство и за короткий срок создал и распространил три зловреда-шифровальщика – Polski, Vortex и Flotera. Вредоносное ПО атаковало почти исключительно жителей Польши и распространялось с помощью фишинговых писем, выдаваемых за сообщения от крупных польских компаний.

Киберпреступника удалось отследить с помощью платежей его жертв. Полученные в качестве выкупа средства Томаш Т. переводил на единый счет в криптовалюте биткоин и затем обменивал на польской криптовалютной бирже. По оценкам польских правоохранителей, хакер сумел заработать не менее 145 тысяч долларов. В настоящий момент Томаш Т. остается под стражей. По информации польских СМИ, он признал свою вину и активно сотрудничает со следствием.

[student]

Positive Technologies: социальная инженерия открывает хакерам двери компаний

Специалисты Positive Technologies собрали статистику эффективности атак с применением методов социальной инженерии. В ходе проектов по анализу защищенности корпоративной инфраструктуры эксперты компании имитировали активность хакеров и отправляли сотрудникам компаний-заказчиков сообщения, содержащие вложенные файлы, ссылки на веб-ресурсы и формы для ввода паролей. Всего было отправлено 3332 письма и 17% из этих сообщений в реальной жизни могли бы в итоге привести к компрометации компьютера сотрудника, а впоследствии — и всей корпоративной инфраструктуры.

Спойлер   :

Самым эффективным методом социальной инженерии оказались сообщения с фишинговой ссылкой: по ней перешли 27% получателей. Пользователи невнимательно читают адрес или даже просто, не глядя, кликают на него и переходят на поддельный сайт. Для повышения эффективности атаки злоумышленники могут комбинировать различные методы: в письме одновременно может присутствовать и вредоносный файл, и ссылка на сайт с набором эксплойтов и формой для ввода пароля. Если вложения могут быть заблокированы антивирусом, то способа защиты от добровольной передачи пароля пользователем не существует.

Сотрудники часто не просто открывают незнакомые файлы и кликают по подозрительным ссылкам, но и вступают в переписку со злоумышленниками. В 88% случаев это делают работники, не связанные с IT (бухгалтеры, юристы, менеджеры и т. п.). Каждый четвертый участник такой переписки оказался руководителем отдела. Впрочем, на удочку хакеров могут попадаться даже специалисты по безопасности: в ходе наших экспериментов 3% из них вступили в диалог.

В ходе беседы с хакером пользователи могут жаловаться на то, что присланные зловредные файлы или ссылки не открываются, — в некоторых случаях перед этим они пробовали открыть файлы или ввести пароль по ссылке по 30–40 раз! Часто, если открыть файл сразу не удается, сотрудник пересылает письмо в IT-департамент компании с просьбой о помощи. Это увеличивает риски компрометации инфраструктуры, поскольку технические специалисты доверяют коллегам и с высокой вероятностью запустят файл. Иногда адресаты сообщали о том, что письмо попало к ним по ошибке и предлагали имена других сотрудников организации, кому его следовало бы отправить.

Эффективность рассылок от лица поддельных компаний сегодня снижается (11% потенциально опасных действий), в то время как если сообщение приходит от имени реальной компании и реального человека, вероятность успеха взломщиков возрастает (33%). Именно так действует, к примеру, группировка Cobalt, которая в ходе атак использует фишинговые письма не только через поддельные доменные имена, но и от лица сотрудников реальных банков и компаний-интеграторов, инфраструктура которых была для этого предварительно взломана.

Киберпреступники используют страх, жадность, надежду и другие эмоции для повышения эффективности своих атак. Поэтому в темах своих писем они используют фразы вроде «список сотрудников на увольнение» (спровоцировали 38% потенциально опасных действий), «выплаты премий за год» (25%) и т. п. При получении таких сообщений люди часто забывают об элементарных правилах безопасности.

Электронная почта — далеко не единственный инструмент социальной инженерии. Злоумышленники часто звонят сотрудникам компаний по телефону, чтобы, например, представиться специалистом техподдержки и получить важные данные или заставить собеседника совершить нужное действие. Классический пример — звонок рано утром в воскресенье с просьбой срочно явиться на работу. Когда в итоге смущенному сотруднику говорят, что можно и просто продиктовать свой пароль, чтобы «специалисты» разобрались во всем сами, — многие с радостью соглашаются.

«Наше исследование процессов обеспечения ИБ в российских компаниях показало, что 38% организаций вообще не проводят тренинги для сотрудников по вопросам ИБ, а 37% делают это формально, без какой-либо проверки эффективности, — отметил аналитик Positive Technologies Дмитрий Каталков. — Для снижения вероятности успешной атаки с применением методов социальной инженерии важно периодически проводить обучение, с контролем информированности каждого сотрудника».

[San-Sanich.]

Пользователям YouTube угрожает опасный троян

«Доктор Веб» предупреждает о том, что сетевые злоумышленники используют популярный видеохостинг YouTube с целю распространения опасной вредоносной программы, инфицирующей компьютеры под управлением операционных систем Windows.
Зловред, получивший обозначение Trojan.PWS.Stealer.23012, написан на языке Python. Злоумышленники публикуют ссылки на вредоносную программу в комментариях к видеороликам на YouTube.

Спойлер   :

Многие из таких роликов посвящены использованию жульнических методов прохождения игр с применением специальных приложений. Как раз за такие программы и другие полезные утилиты злоумышленники и выдают трояна.
При попытке перейти по указанной ссылке на компьютер жертвы загружается самораспаковывающийся RAR-архив с вредоносным кодом. После его запуска происходит инфицирование ПК, и зловред приступает к работе.
Главной задачей трояна является сбор конфиденциальной информации. Вредоносная программа похищает сохранённые логины/пароли из браузеров, копирует файлы с рабочего стола, делает снимки экрана.
Полученная таким образом информация упаковывается в архив spam.zip, который вместе с данными о расположении заражённого устройства отправляется на сервер злоумышленников. В результате, преступники могут получить доступ к учётным записям жертвы в социальных сетях и различных веб-сервисах, а также завладеть сведениями персонального характера.

[student]

NYT: Мировые IT-гиганты и соцсети отказываются от участия в кибератаках

The New York Times удалось узнать, что будет подписана «цифровая женевская конвенция», и в ней примут участие мировые IT-гиганты и соцсети. По данным издания, 30 различных компаний включая Microsoft и Facebook решили официально заявить, что отказываются принимать участие в кибератаках.

Также эти компании будут всячески помогать странам и предприятиям, которые окажутся под угрозой хакерских атак, причем помощь будет осуществляться в независимости от государства и политических взглядов.

Среди компаний, которые подпишут соглашение присутствуют Symantec, FireEye, Nokia, HP и многие другие, а вот самые влиятельные — Google, Apple и Amazon пока не намерены ставить свои подписи в этом документе.

[student]

Таинственный спам

Пользователи популярного сервиса электронной почты Gmail столкнулись с неожиданной и трудно объяснимой проблемой. На протяжении нескольких дней некоторые из них обнаруживают среди отправленных сообщений письма, которых они совершенно точно не отправляли. Более того, судя по заголовкам, эти письма являются очевидной спам-рассылкой: речь в них идет, по преимуществу, о пищевых добавках для снижения веса.

Самым логичным объяснением является то, что аккаунты пользователей взломаны, и спам от их имени рассылают неизвестные злоумышленники. В такой ситуации необходимо сменить пароль, вернув себе контроль на учетной записью. Но парадокс состоит в том, что и после смены пароля спам-сообщения таинственным образом продолжают возникать в папке «Отправленные». Более того, проблема затронула даже пользователей, аккаунты которых защищены двухфакторной аутентификацией (помимо пароля они вводят для входа в учетную запись еще и цифровой код, получаемый в SMS-сообщении). Если и их аккаунты удалось взломать, то взлом следует признать невероятно изощренным.

Ресурс Mashable, первым сообщивший о проблеме, обратился за комментариями к корпорации Google. Ее представители заявили, что они в курсе инцидента, «затронувшего небольшую часть пользователей», и что все меры для разрешения ситуации уже принимаются. Корпорация также подчеркнула, что не видит причин утверждать, что аккаунты ее пользователей были взломаны. Исходя из этого, можно предположить, что таинственный спам является, скорее всего, сбоем алгоритмов самого сервиса: сообщения, идентифицированные как нежелательные, в некоторых случаях по неизвестным причинам перенаправляются не в папку «Спам», а в папку «Отправленные».

[student]

Хакеры украли секретные документы об американском оружии будущего
09.06.2018, СБ, 12:12,

Китайские хакеры взломали компьютеры одного из контрагентов ВМФ США и получили доступ к более чем 600 ГБ секретных данных. Американские военные боятся, что не смогут ничего противопоставить Китаю в случае войны.

Гигабайты данных и проект Sea Dragon

Группа хакеров, работающих на правительство Китая, взломала информационную систему одного из подрядчиков ВМФ США. Имя подрядчика, подвергшейся кибератаке не сообщается. Известно лишь то, что он работает на Naval Undersea Warfare Center (NUWC) – исследовательское подразделение ВМФ США, занимающееся проектированием подводных лодок и вооружения для них. Об этом сообщило издание The Washington Post.

По итогам взлома злоумышленникам удалось получить несанкционированный доступ к более чем 614 ГБ секретной информации, в том числе и о проекте под кодовым именем Sea Dragon (морской дракон). Вероятно, в рамках этого проекта ведутся разработки перспективной сверхзвуковой противокорабельной ракеты. Злоумышленники похитили данные, касающиеся криптографических систем, используемых для обеспечения радиосвязи на подводных лодках, а также электронную библиотеку данных подразделения ВМФ по разработке субмарин.

Спойлер   :

Несмотря на всю важность и секретность, по неизвестной причине для хранения украденных данных использовалась слабозащищенная от киберугроз инфраструктура подрядчика.

По мнению официальных лиц США, собранные воедино обрывки похищенных данных представляют собой государственную тайну, а данный инцидент ставит под сомнение способность ВМФ контролировать собственных подрядчиков.

Целью взявшего старт в 2012 г. проекта Sea Dragon стала адаптация имеющихся военных технологий для новых сфер применения.

Министерство обороны США описывает Sea Dragon как «разрушительное наступательное вооружение». По источникам издания, с 2015 г. Пентагону выделили более $300 млн на реализацию проекта. Провести испытание нового оружия планируется в сентябре 2018 г. К 2020 г. ракеты должны принять на вооружение.

В настоящее время ВМФ ведет расследование происшествия при содействии ФБР. Представители ФБР отказались комментировать инцидент.

Целью атаки китайских хакеров почти всегда становятся подрядчики

Американские военные эксперты всерьез опасаются, что в случае военного конфликта в регионе Китай сможет доставить большие неприятности флоту США. Китай активно вкладывает средства в разнообразные военные проекты, в том числе в малошумные субмарины, которые оснащаются все более и более хитрым вооружением, а также системами обнаружения.

Адмирал Филипп Дэвидсон (Philipp Davidson) считает, что китайцы неспособны разработать что-то свое, а потому им не остается ничего другого, кроме как вторгаться в американское киберпространство и «заимствовать» технологии. Слабым звеном в такой ситуации, по его мнению, являются частные компании, выполняющие заказы Пентагона.

В феврале 2018 г. Директор национальной разведки Дэниел Коутс (Daniel Coats) признался, что китайские кибератаки против США, как правило, нацелены именно на подрядчиков МО или компании, занимающиеся обслуживанием сетевой инфраструктуры государственных учреждений.

Самый большой успех китайских хакеров

Историю с кражей данных о проекте Sea Dragon едва ли можно считать самым резонансным происшествием, которое обнажило проблемы кибербезопасности, испытываемые США в последнее время.

В июле 2015 г. компьютеры Управления кадровой службы США подверглись атаке, в результате чего данные о более чем 21,5 млн американцев оказались в руках хакеров.

Информация хранилась в незашифрованном виде и представляла собой результаты опроса граждан, имеющих отношение к государственной тайне. Помимо номеров социального страхования и дат рождения, украденные данные содержали подробную медицинскую и финансовую истории граждан, сведения о партнерах, родителях, друзьях и детях.

Китайские специалисты проанализировали похищенные данные и благодаря технологиям анализа больших данных (Big Data) смогли построить специальную карту, которая отражала связи между представителями американских элит.

Утечка данных оказалась настолько серьезным ударом по США, что многие разведывательные ведомства вовсе отказались от отправки в Китай новых агентов.

[student]

Раскрыта схема отмывания денег через мобильные игры

Специалисты компании Kromtech Security раскрыли мошенническую схему отмывания средств с банковских карт, данные которых были похищены киберпреступниками. В середине июня исследователи обнаружили в сети базу данных MongoDB, доступ к которой не был защищен логином и паролем. Изначально сотрудники Kromtech Security предполагали, что база данных принадлежит одной из компаний, забывших настроить защищенный доступ к информации своих клиентов – случай, к сожалению, совсем не редкий. Но дальнейший анализ выявил совершенно иную картину.

База данных содержала информацию более чем 150 тысяч банковских карт, включая их номера, имена владельцев, сроки окончания действия и CVV-коды. Предположительно, владельцы базы приобретали информацию непосредственно у похитителей данных банковских карт, а затем использовали созданный ими механизм отмывания денег. Они регистрировали фальшивые аккаунты в iOS, привязывали к ним данные карт и загружали на прошедшие процедуру jailbreak Apple-устройства мобильные игры. Далее киберпреступники приобретали различные игровые бонусы, расплачиваясь средствами с похищенных карт – и перепродавали эти бонусы другим игрокам, пополняя уже собственные счета. Эксперты обнаружили как минимум три популярные игры, использовавшиеся для реализации этой схемы - Clash of Clans, Supercell's Clash Royale, и Marvel Contest of Champions.

Представители Kromtech Security уже уведомили Министерство юстиции США об обнаруженной мошеннической схеме. Они также раскритиковали разработчиков мобильных игр, которые не принимают меры против игроков, вся активность которых сводится к покупке и последующей перепродаже бонусов. Досталось и корпорации Apple: по мнению исследователей, ей необходимо ужесточить правила верификации аккаунтов, не позволяя привязывать к учетным записям банковские карты, данные которых ранее могли быть похищены.

[San-Sanich.]

Зафиксирована волна ложных атак на личные кабинеты пользователей

«Информзащита» предупреждает о волне ложных атак на IT-компании, в ходе которых злоумышленники пытаются выманить деньги, запугивая своих жертв.
Схема нападений выглядит следующим образом. Киберпреступники сообщают о том, что после успешной атаки смогли получить доступ к базе данных с аккаунтами и персональными данными клиентов компании-жертвы. За неразглашение этих сведений злоумышленники требуют выкуп.
Дабы ввести жертву в заблуждение, преступники демонстрируют несколько сотен реальных записей из якобы похищенной базы данных. Для убедительности мошенники могут предварительно организовать атаку с перебором паролей к личным кабинетам пользователей.
На деле же заявления о взломе корпоративной инфраструктуры могут оказаться блефом. Киберпреступники пользуются тем, что люди зачастую применяют один и тот же пароль на многих интернет-ресурсах. Перебор нескольких сотен тысяч ранее взломанных учётных записей на разных сайтах вполне может дать несколько сотен доступов к реальным аккаунтам пользователей. Именно эти данные злоумышленники и представят для проверки, потребовав выкуп под угрозой обнародовать всю якобы похищенную базу.
Эксперты рекомендуют не торопиться удовлетворять требования вымогателей и тщательно проверять информацию о потенциальном взломе.

[vdovbnenko]

[student]

Новый шифровальщик Ryuk «заработал» 640 тысяч долларов за неделю

Специалисты по кибербезопасности строят догадки о происхождении и механизмах атак нового зловреда-шифровальщика Ryuk. Впервые вредоносное ПО было обнаружено независимым исследователем под ником MalwareHunter 13 августа. С тех пор появилось несколько сообщений об атаках Ryuk из разных стран мира. Эксперты компании Check Point подготовили первый отчет о зловреде, и хотя до полноты представлений о нем еще далеко, некоторые выводы сделать уже можно. Организаторы атак Ryuk не прибегают к «ковровым бомбардировкам», распространяя зловред с помощью спама и фишинга. Они скорее копируют «бизнес-модель», принятую злоумышленниками, стоящими за атаками шифровальщика SamSam: тщательный выбор жертвы из числа крупных компаний или государственных организаций и инфицирование «вручную» с использованием заранее обнаруженных уязвимостей. Об этой избирательности говорит и тот факт, что варьируется даже текст сообщения с требованием о выкупе. Сумма его, к слову сказать, может составлять от 224 до 320 тысяч долларов в криптовалюте биткоин. При этом всего за неделю зловред уже «заработал» для своих хозяев 640 тысяч долларов.

Зловред использует комбинацию типов шифрования AES-RSA, что делает практически невозможной расшифровку заблокированных файлов, если сами злоумышленники не предоставят ключ. Исследователи Check Point обнаружили существенное сходство кода Ryuk с кодом другого зловреда-шифровальщика – Hermes. Можно с высокой степенью вероятности предположить, что Ryuk был создан теми же программистами, что и Hermes – либо людьми, знакомыми с его исходным кодом. Стоит отметить, что атаками с использованием Hermes отметилась в прошлом северокорейская хакерская группировка Lazarus Group.