Bu rehber, gerçek Ryuk örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash, 2 IP).

Ryuk Nedir?

Ryuk, ilk olarak 2018 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C++ programlama dili ile geliştirilmiş olup C2 iletişiminde TCP protokolünü kullanmaktadır.

Ryuk ransomware is a human-operated ransomware deployed by WIZARD SPIDER. Targeted enterprise victims via TrickBot/BazarLoader. Precursor to Conti ransomware operations.

Atıf / Tehdit Aktörü: WIZARD SPIDER (linked to Hermes/Lazarus initial code)

Teknik Detay: Ryuk ransomware emerged August 2018, operated by WIZARD SPIDER (TrickBot operators). Targeted large organizations for high ransoms ($100K-$12.5M+ per victim). Distribution: delivered via TrickBot/BazarLoader infections (human-operated). Encryption: RSA-2048 + AES-256 (CBC mode), unique key per file.

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek Ryuk örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
ee35526d4b26d6cccbdc1fc8e6c94cf02e5f9be32b6b43390167804a0ce6c50fSHA256Ryuk
9c24785c1d429ce1cc9c72613993d12f2b1b95d96e834f3d3736b26221027094SHA256NULL
8f368b029a3a5517cb133529274834585d087a2d3a5875d03ea38e5774019c8aSHA256NULL
302fa0883fe21e4d0b56c68574a8073edb05b20325c41ea41e6d4e4005d0f9e1SHA256NULL
d6b7b27e13700aaa7f108bf9e76473717a7a1665198e9aafcc2d2227ca11bba9SHA256NULL
7645fad737379aebabb7e1dc0092ca25MD5Ryuk
6bb43dd10a3f8046540e010ed772c3adMD5NULL
89895cf4c88f13e5797aab63dddf1078MD5NULL
3d3fce34e2092be6629eb75cee97ec69MD5NULL
2cc630e080bb8de5faf9f5ae87f43f8bMD5NULL

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — Ryuk Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

C2 Altyapısı — Ağ Düzeyinde Engelleme

Analizlerimizde tespit edilen Ryuk C2 sunucuları. Firewall, DNS filtresi veya IDS/IPS'inizde bu adresleri engelleyin:

IP Adresleri

Bu adresler yalnızca KEYDAL ekibinin doğruladığı örneklerden alınmıştır. Aktif durum takibi için C2 Sunucuları sayfasını kontrol edin.

Şifrelenmiş Dosyaların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.