DespuĆ©s de analizar la muestra v2.exe , el investigador de seguridad Vitali Kremez compartiĆ³ con BleepingComputer un cambio interesante en el ransomware; ya no cifrarĆa las carpetas asociadas con los sistemas operativos UNIX.
A primera vista, parece extraƱo que un malware de Windows ponga en la lista negra * carpetas UNIX al cifrar archivos.
AĆŗn mĆ”s extraƱo, Kremez les dijo que se le habĆa preguntado en numerosas ocasiones si habĆa una variante Unix de Ryuk, ya que los datos almacenados en estos sistemas operativos se han cifrado en los ataques de Ryuk.
No existe una variante de Linux / Unix de Ryuk, pero Windows 10 contiene una caracterĆstica llamada Subsistema de Windows para Linux (WSL) que le permite instalar varias distribuciones de Linux directamente en Windows. Estas instalaciones utilizan carpetas con los mismos nombres en la lista negra que se enumeran anteriormente.
Con la creciente popularidad de WSL, los actores de Ryuk probablemente cifraron una mĆ”quina Windows en algĆŗn momento que tambiĆ©n afectĆ³ a las carpetas del sistema UNIX utilizadas por WSL. Esto habrĆa causado que estas instalaciones WSL ya no funcionen.
Como el objetivo del ransomware mĆ”s exitoso es encriptar los datos de una vĆctima, pero no afectar la funcionalidad del sistema operativo, este cambio tiene sentido
Con estas carpetas en la lista negra, Ryuk elimina un dolor de cabeza adicional con el que tendrĆan que lidiar para un cliente que paga cuyas instalaciones de WSL estĆ”n arruinadas.
A primera vista, parece extraƱo que un malware de Windows ponga en la lista negra * carpetas UNIX al cifrar archivos.
AĆŗn mĆ”s extraƱo, Kremez les dijo que se le habĆa preguntado en numerosas ocasiones si habĆa una variante Unix de Ryuk, ya que los datos almacenados en estos sistemas operativos se han cifrado en los ataques de Ryuk.
No existe una variante de Linux / Unix de Ryuk, pero Windows 10 contiene una caracterĆstica llamada Subsistema de Windows para Linux (WSL) que le permite instalar varias distribuciones de Linux directamente en Windows. Estas instalaciones utilizan carpetas con los mismos nombres en la lista negra que se enumeran anteriormente.
Con la creciente popularidad de WSL, los actores de Ryuk probablemente cifraron una mĆ”quina Windows en algĆŗn momento que tambiĆ©n afectĆ³ a las carpetas del sistema UNIX utilizadas por WSL. Esto habrĆa causado que estas instalaciones WSL ya no funcionen.
"Definitivamente tienen casos que afectan los entornos WSL, lo que probablemente los llevĆ³ a poner en la lista negra las carpetas NIX como lo hacen de manera similar con las de Windows. Es nuevo para mĆ y podrĆa explicar por quĆ© Ryuk y cĆ³mo Ryuk afecta las mĆ”quinas UNIX a travĆ©s de WSL", dijo Kremez a BleepingComputer.
Como el objetivo del ransomware mĆ”s exitoso es encriptar los datos de una vĆctima, pero no afectar la funcionalidad del sistema operativo, este cambio tiene sentido
Con estas carpetas en la lista negra, Ryuk elimina un dolor de cabeza adicional con el que tendrĆan que lidiar para un cliente que paga cuyas instalaciones de WSL estĆ”n arruinadas.
