Después de analizar la muestra v2.exe , el investigador de seguridad Vitali Kremez compartió con BleepingComputer un cambio interesante en el ransomware; ya no cifraría las carpetas asociadas con los sistemas operativos UNIX.
A primera vista, parece extraño que un malware de Windows ponga en la lista negra * carpetas UNIX al cifrar archivos.
Aún más extraño, Kremez les dijo que se le había preguntado en numerosas ocasiones si había una variante Unix de Ryuk, ya que los datos almacenados en estos sistemas operativos se han cifrado en los ataques de Ryuk.
No existe una variante de Linux / Unix de Ryuk, pero Windows 10 contiene una característica llamada Subsistema de Windows para Linux (WSL) que le permite instalar varias distribuciones de Linux directamente en Windows. Estas instalaciones utilizan carpetas con los mismos nombres en la lista negra que se enumeran anteriormente.
Con la creciente popularidad de WSL, los actores de Ryuk probablemente cifraron una máquina Windows en algún momento que también afectó a las carpetas del sistema UNIX utilizadas por WSL. Esto habría causado que estas instalaciones WSL ya no funcionen.
Como el objetivo del ransomware más exitoso es encriptar los datos de una víctima, pero no afectar la funcionalidad del sistema operativo, este cambio tiene sentido
Con estas carpetas en la lista negra, Ryuk elimina un dolor de cabeza adicional con el que tendrían que lidiar para un cliente que paga cuyas instalaciones de WSL están arruinadas.
A primera vista, parece extraño que un malware de Windows ponga en la lista negra * carpetas UNIX al cifrar archivos.
Aún más extraño, Kremez les dijo que se le había preguntado en numerosas ocasiones si había una variante Unix de Ryuk, ya que los datos almacenados en estos sistemas operativos se han cifrado en los ataques de Ryuk.
No existe una variante de Linux / Unix de Ryuk, pero Windows 10 contiene una característica llamada Subsistema de Windows para Linux (WSL) que le permite instalar varias distribuciones de Linux directamente en Windows. Estas instalaciones utilizan carpetas con los mismos nombres en la lista negra que se enumeran anteriormente.
Con la creciente popularidad de WSL, los actores de Ryuk probablemente cifraron una máquina Windows en algún momento que también afectó a las carpetas del sistema UNIX utilizadas por WSL. Esto habría causado que estas instalaciones WSL ya no funcionen.
"Definitivamente tienen casos que afectan los entornos WSL, lo que probablemente los llevó a poner en la lista negra las carpetas NIX como lo hacen de manera similar con las de Windows. Es nuevo para mí y podría explicar por qué Ryuk y cómo Ryuk afecta las máquinas UNIX a través de WSL", dijo Kremez a BleepingComputer.
Como el objetivo del ransomware más exitoso es encriptar los datos de una víctima, pero no afectar la funcionalidad del sistema operativo, este cambio tiene sentido
Con estas carpetas en la lista negra, Ryuk elimina un dolor de cabeza adicional con el que tendrían que lidiar para un cliente que paga cuyas instalaciones de WSL están arruinadas.
