Rook의 새로운 랜섬웨어는 Babuk 소스 코드를 기반으로 합니다.
센티넬 원 전문가 발견했다 새로운 랜섬웨어 루크, 바북 랜섬웨어의 장기간 유출된 소스 코드를 기반으로 한 것으로 보입니다..
맬웨어 페이로드는 일반적으로 다음을 통해 전달됩니다. 코발트 스트라이크, 피싱 이메일 및 불법 복제 토렌트를 초기 감염 벡터로 사용. 더 많은 스텔스를 위해, 사기꾼 페이로드는 UPX 또는 기타 암호화 수단을 사용하여 패키징됩니다..
출시 시, 랜섬웨어는 보안 메커니즘 또는 암호화를 방해할 수 있는 기타 사항과 관련된 모든 프로세스를 종료하려고 시도합니다..
보고서에 따르면 Rook은 vssadmin.exe를 사용하여 섀도 복사본을 제거합니다..
지금까지, 연구원은 시스템에서 고정 메커니즘을 찾지 못했습니다., 그래서 Rook은 파일에 .Rook 확장자를 추가하여 파일을 암호화합니다., 그런 다음 손상된 시스템에서 자신을 삭제합니다..
연구원들은 Rook과 바북, 그의 소스 코드는 가을에 러시아어 포럼에 게시되었습니다. 2021. 예를 들면, Rook은 동일한 API 호출을 사용하여 실행 중인 각 서비스의 이름과 상태를 가져옵니다., 그리고 그들을 죽이는 동일한 기능. 게다가, 제거된 Windows 프로세스 및 서비스 목록은 두 랜섬웨어 모두에서 동일합니다. (포함: 증기, 마이크로 소프트 Office 및 Outlook 이메일 클라이언트, 게다가 모질라 파이어폭스와 썬더버드). 결과적으로, 센티넬 원 전문가들은 Rook이 Babuk 소스 코드를 기반으로 한다고 결론지었습니다..
우리가 그것을 썼다는 것을 상기시켜 드리겠습니다. 콘서트 랜섬웨어 공격 마인크래프트 서버, 뿐만 아니라 연구원들이 발견한 알파베 Rust로 작성된 랜섬웨어.