Trong vụ tấn công gần nhất, mã độc tống tiền Ryuk (Ryuk Ransomware) đã khiến toàn bộ hệ thống máy tính công của thành phố New Orleans, Louisiana, Hoa Kỳ tê liệt cục bộ bằng cách sử dụng một tệp thực thi có tên v2.exe. Sau khi phân tích tệp thực thi độc hại này, nhà nghiên cứu bảo mật nổi tiếng Vitali Kremez đã phát hiện ra một thay đổi thú vị trong phương thức hoạt động của chủng ransomware này, đó là nó không còn mã hóa một số loại thư mục được liên kết với các hệ điều hành * NIX.
Thư mục * NIX trong danh sách đen của Ryuk bao gồm: bin, boot, Boot, dev, etc, lib, initrd, sbin, sys, vmlinuz, run, Var.
Đây rõ ràng là hiện tượng lạ khi một chủng mã độc Windows lại liệt kê các thư mục * NIX vào danh sách đen khi mã hóa tệp. Thậm chí còn có những thắc mắc về việc liệu có một biến thể Unix của Ryuk hay không khi dữ liệu được lưu trữ trong các hệ điều hành này đã được mã hóa trong nhiều cuộc tấn công của Ryuk trước đó.
Biến thể Linux/Unix của Ryuk thì không tồn tại, tuy nhiên Windows 10 có chứa một tính năng gọi là Windows Subsystem for Linux (WSL) cho phép bạn cài đặt các bản phân phối Linux khác nhau trực tiếp trong Windows, và những bản phân phối Linux đó chắc chắn sẽ phải sử dụng các thư mục được liệt kê trong danh sách trên.
Với sự phổ biến ngày càng tăng của WSL, Ryuk có thể mã hóa một thiết bị Windows tại một số điểm và điều này gây ảnh hưởng đến các thư mục hệ thống * NIX được sử dụng bởi WSL, đồng thời khiến các cài đặt WSL này không thể hoạt động. Đó là lý do giải thích tại sao Ryuk có thể ảnh hưởng đến các thiết bị NIX thông qua WSL.
Mục tiêu cuối cùng của mọi chủng mã độc không gì khác ngoài việc mã hóa dữ liệu của nạn nhân nhưng đồng thời cũng không làm ảnh hưởng đến chức năng của hệ điều hành. Do vậy, sự thay đổi mới này trong cách thức vận hành của Ryuk có thể được coi là một bước “tiến hóa”, khiến nó trở nên nguy hiểm hơn.
Với việc đưa một loạt thư mục Linux vào danh sách đen, những kẻ đứng sau Ryuk đã loại bỏ được thêm một vấn đề đau đầu mà chúng cần phải giải quyết đối với những người chấp nhận trả tiền chuộc nhưng có thiết lập WSL bị phá hỏng bởi ransomware.