Ett ransomwarevirus kallas Ryuk distribueras i Kina och kräver att användare av infekterade enheter betalar en stor summa i BTC .

Tencent Security undersökte Ryuk-viruset och fann att det krypterar data på den infekterade enheten och kräver en lösensumma från BTC. Återköpet är vanligtvis ganska stort jämfört med liknande attacker tidigare och har nyligen stigit till 11 BTC.

Viruset blockerar offersystem med hjälp av ett modernt hackerprogram, främst genom botnätverk. Den upptäcktes först i Nordamerika och använder RSA och AES algoritmer för att kryptera offers filer. Det verkar som om kampanjen är fokuserad och dess offer är statliga myndigheter och privata organisationer.

Ryuk kom från Hermes-kodfamiljen, och de tidigaste tecknen på dess aktivitet kan spåras tillbaka till augusti 2018. Den använder det mesta av Hermes-koden, har samma vitlista-filtreringsmekanism som Hermes-viruset och använder även Hermes-strängsekvenserna till och med för en unik filinfektionsmarkör.

Provet finns i Kina släpper och lanserar olika moduler som hjälper viruset att utvecklas och ytterligare förbättra dess effektivitet. I de senaste attackerna användes en dropper som innehöll både 32-bitars och 64-bitars moduler av viruset.

När Ryuk startar, kontrollerar den om den har körts med ett specifikt argument och avbryter sedan mer än 40 processer och mer än 180 tjänster relaterade till antivirus, databaser, programvara för säkerhetskopiering och redigering av dokument.

Enligt forskarna är nästan alla Ryuk virusprover som upptäckts hade en unik BTC-adress. Kort efter att offret betalat lösensumman, delade angriparna bitcoins och överför dem till flera konton.

Utpressaren stannar också kvar på infekterade enheter och försöker kryptera nätverksresurser utöver lokala enheter. Den förstör också dess krypteringsnyckel, skuggkopior och olika säkerhetskopior från disken för att förhindra användare från att återställa filer.

Nyligen New York College Monroe attackerades av ett utpressningsvirus – hackare krävde en lösensumma på 170 BTC. Dessutom, i slutet av förra månaden, betalade myndigheterna i den amerikanska staden Lake City utpressarna en lösensumma på 42 BTC efter attacken av krypteringsviruset.