Ryuk fidye yazılımının * NIX işletim sistemlerinde yaygın olarak görülen klasörleri şifreleme yeteneği artık bilindiği için yeni bir varyantı piyasaya sürüldü. Hatırlarsanız New Orleans’a fidye yazılımı bulaştıktan sonra v2.exe adlı bir yürütülebilir dosya kullanılarak şehrin Ryuk yazılımı tarafından saldırıya uğradığı haberini paylaşmıştık.
V2.exe örneğini analiz edildikten sonra güvenlik araştırmacısı Vitali Kremez fidye yazılımında ilginç bir değişiklik farketti ve paylaştı: Ryuk artık * NIX işletim sistemleriyle ilişkili klasörleri şifrelememektedir.
Ryuk’un kara listesindeki * NIX klasörlerinin listesi:
bin
boot
Boot
dev
etc
lib
initrd
sbin
sys
vmlinuz
run
var
Zararlı yazılım Windows dosyalarını şifrelemeye ağırlık verirken Ryuk’un *NIX işletim klasötlerini kara listeye alması garip görünüyor.
Daha da garip olan Kremez bize bu işletim sistemlerinde depolanan veriler Ryuk saldırılarında şifrelenmiş olduğundan Ryuk’un Unix varyantı olup olmadığını defalarca sorguladığını söyledi.
Ryuk’un bir Linux / Unix varyantı mevcut değil ancak yakın zamanda hatırlarsanız Windows 10 Linux dağıtımlarını doğrudan Windows’a yüklemenizi sağlayan Linux için Windows Alt Sistemi (WSL) adı verilen bir özellik eklemişti. Bu kurulumlar yukarıda listelenen kara listeye alınmış adlara sahip klasörleri kullanıyor.
WSL’nin artan popülaritesi ile Ryuk aktörleri muhtemelen bir noktada Windows makinesinin WSL tarafından kullanılan * NIX sistem klasörlerini de etkilemeye çalıştı. Bu da WSL kurulumlarının artık çalışmamasına neden olacaktı.
Kremez “Büyük ihtimal Ryuk’un WSL ortamlarını etkileyen vakaları olmuştur. Bu yüzden Windows klasörlerinde olduğu gibi NIX klasörlerinin de onu kara listeye almasına neden oldu. Bu da Ryuk’un WSL yoluyla NIX makinelerini nasıl etkilediğinin açıklaması olabilir” dedi.
Başarılı fidye yazılımlarının amacı kurbanın verilerini şifrelemek ancak işletim sisteminin işlevselliğini etkilememek olduğundan bu değişiklik mantıklıdır.