返回目录:excel表格制作
Ryuk勒索病毒最早于2018年8月被首次发现,它是由俄罗斯黑客团伙Grim Spider幕后操作运营,Grim Spider是一个网络犯罪集团,使用Ryuk勒索软件对大型企业及组织进行针对性攻击,C.R.A.M. TG Soft(反恶意软件研究中心)发现Ryuk勒索软件并没有通过malspam活动传播,而是通过网络攻击手段利用其他恶意软件如Emotet或TrickBot等银行木马进行传播,Emotet和TrickBot银行木马主要用于盗取受害者银行网站登录凭据,同时充当下载器功能,提供下载其它勒索病毒服务,为啥Emotet和TrickBot银行木马会传播Ryuk勒索病毒?在之前的文章中已经提到过了,因为TrickBot银行木马传播渠道的运营者是俄罗斯黑客团伙WIZARD SPIDER,GRIM SPIDER是俄罗斯黑客团伙WIZARD SPIDER的部门之一
在过去的几个月里,Ryuk因在美国和意大利的几次袭击而闻名,2019年6月11日“Bonfiglioli”公司遭到Ryuk恶意软件攻击,要求赎金高达2,400万欧元
Ryuk这款勒索病毒最近在国外非常流行,它的攻击目标主要是国外一些大型的企业,然后要求受害者支付巨额的赎金,以还原他们的数据和业务,Ryuk勒索病毒背后也一定有一支强大的黑客运营团队
C.R.A.M. TG Soft(反恶意软件研究中心)在过去的几个月时跟踪分析了这款勒索病毒的演变过程,相关的分析报告链接:
https://www.tgsoft.it/english/news_archivio_eng.asp?id=1010#
报告内容包含:恶意样本详细分析、文件加密算法、共享网络加密、勒索赎金信息以及勒索病毒防护措施等,如下所示:
报告中提供了Ryuk勒索病毒的MD5:
060374D93D83ED5218B63610739AB5A8,此勒索病毒样本已经被人上传到了app.any.run在线沙箱网站,如下所示:
此勒索病毒加密后缀为:RYK,如下所示:
在每个加密后的文件夹目录生成勒索超文本文件RyukReadMe.html,内容如下所示:
让受害者通过邮件与黑客联系解密,邮件地址:
chris-morris-1976@protonmail.com
tasha-williams.91@protonmail.com
勒索病毒核心原理剖析
1.遍历进程,结束相关进程,如下所示:
相关的进程列表,如下所示:
veeam,backup,backup,xchange,sql,dbeng,sofos,calc,ekrn,zoolz,encsvc,excel,firefoxconfig,infopath,msaccess,mspub,mydesktop,ocautoupds,ocomm,ocssd,onenote,oracle,outlook,powerpnt,sqbcoreservice,steam,synctime,tbirdconfig,thebat,thunderbird,visio,word,xfssvccon,tmlisten,pccntmon,cntaosmgr,ntrtscan,mbamtray
2.遍历主机服务,停止相关服务,如下所示:
相关的服务列表,如下所示:
veeam,back,xchange,ackup,acronis,sql,enterprise,sophos,veeam,acrsch,antivirus,antivirus,bedbg,dcagent,epsecurity,epupdate,eraser,esgshkernel,fa_scheduler,iisadmin,imap4,mbam,endpoint,afee,mcshield,task,mfemms,mfevtp,mms,msdts,exchange,ntrt,pdvf,pop3,report,resvc,sacsvr,savadmin,sams,sdrsvc,sepmaster,monitor,smcinst,smcservice,smtp,snac,swi_,ccsf,truekey,tmlisten,ui0detect,w3s,wrsvc,netmsmq,ekrn,ehttpsrv,eshasrv,avp,klnagent,wbengine,kavf,mfefire
3.进程提权操作,如下所示:
4.枚举所有的活动进程,看是否有系统权限,如下所示:
5.然后注入勒索病毒代码到csrss.exe、explorer.exe、lsass.exe进程中,如下所示:
6.注入进程代码使用WriteProcessMemory、CreateThreadRemote等函数,如下所示:
此勒索病毒使用微软的CryptoAPI系统加密函数对文件进行加密,通过设置PROV_RSA_AES类型的CSP,在二进制文件中存储了一个RSA公钥,公钥类型为CALG_RSA_KEYX,然后使用CryptImportKey API导入,加密生成的加密受害者文件的AES密钥信息,所以此勒索病毒暂时无法解密,目前也没有哪个机构和组织公布相应的解密工具,这也导致那些被加密的大型企业只能支付巨额的赎金还原数据和业务,同时此勒索病毒还会通过WNetEnumResource等API函数枚举所有共享网络资源目录文件,并加密共享目录下的文件,详细分析可以见之前发的分析报告
Ryuk勒索病毒的特点就是主要攻击全球的大型企业、组织、机构等,它与其它一些勒索病毒不同,通过垃圾邮件进行传播,而且采用网络攻击的方式进行传播,这款勒索病毒专门攻击那些能够支付高额赎金的企业,并对这些企业进行定制攻击,目前全球已经有多家大型的企业被此勒索病毒攻击,并要求支付高额的赎金
最近几年勒索病毒爆发,尤其是针对企业的勒索病毒攻击越来越多,因为勒索的暴利存在,关于勒索病毒的防护,给大家分享几个简单的方法,通过这些方法可以有效的防御部分勒索病毒:
1、及时给电脑打补丁,修复漏洞
2、谨慎打开来历不明的邮件,点击其中链接或下载附件,防止网络挂马和邮件附件攻击
3、尽量不要点击office宏运行提示,避免来自office组件的病毒感染
4、需要的软件从正规(官网)途径下载,不要用双击方式打开.js、.vbs、.bat等后缀名的脚本文件
5、升级防病毒软件到最新的防病毒库,阻止已知病毒样本的攻击
6、开启Windows Update自动更新设置,定期对系统进行升级
7、养成良好的备份习惯,对重要的数据文件定期进行非本地备份,及时使用网盘或移动硬盘备份个人重要文件
8、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃,黑客会通过相同的弱密码攻击其它主机
9、如果业务上无需使用RDP的,建议关闭RDP,以防被黑客RDP爆破攻击