一、背景介绍

Ryuk勒索病毒最早于2018年8月由国外某安全公司进行报道，短短两周内净赚超过64万美元的比特币。2018年12月29号，美国多家报社的报纸印刷和发货中断。据内部消息人士称，这起事件是由Ryuk勒索软件网络攻击活动导致。

图 1

https://www.securityweek.com/ryuk-ransomware-suspected-us-newspaper-attack

自问世以来，Ryuk不断的出现更新，各个安全厂商发现了多个版本。同时跟踪发现它与HERMES勒索病毒有关联，此外也有消息称HERMES勒索病毒与朝鲜黑客组织Lazarus有关联。2018年8月20日，checkpoint发表了一篇关于ryuk勒索软件的文章，里面提到了ryuk勒索也许属于朝鲜的言论。checkpoint的分析人员因为Ryuk和Hermes的代码相似而得出此结论。

图 2

图 3

https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/

但最终crowdstrike的安全研究人员确定，Ryuk勒索病毒由一个名为GRIM SPIDER的犯罪集团运营。

图 4

https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/

在今年早些时候，Ryuk勒索病毒不断变换攻击方式，扩大攻击范围。最初深信服安全团队发现了使用垃圾邮件和漏洞利用工具包传播的32位Ryuk勒索病毒，专门用于自定义攻击。感染和传播过程都是由攻击者手动执行的，被加密的文件以.RYK后缀结尾。接着又发现了64位版本。

图 5

图 6

https://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=2650236637&idx=1&sn=899ee944fac325db7270e043674a05b9&chksm=f3e2dca9c49555bff269c4075d793af0b041c1db45251c3f1986fac449348f8e64a007f6f760&scene=38#wechat_redirect

https://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=2650236896&idx=1&sn=af2e525eec639a4c1716ff486e8ec480&chksm=f3e2dd94c495548253deff87cccb197601af21093ddf7afe2b3c3fdc4186ff9a90d480bc2d60&scene=38#wechat_redirect

7月份，深信服安全团队又捕获到一起利用Trickbot下发Ryuk勒索病毒的攻击事件。虽然TrickBot被称为银行木马，但其银行业务能力仅仅是其众多能力之一。它能够利用共享和MS17-010漏洞进行内网传播，并且与C2服务器通信以收集敏感数据和接收命令。一旦攻击者利用其下发Ryuk勒索软件，所有受到感染的设备文件都将被加密，造成不可估量的损害。

图 7

https://mp.weixin.qq.com/s?__biz=MzI4NjE2NjgxMQ==&mid=2650238799&idx=1&sn=eee2677fa2391d3204272fde013e8520&chksm=f3e2d53bc4955c2d51b0f2dff5644c86a158dd932183aa932c52d4295e8919bf82a746a49153&scene=38#wechat_redirect

最近，Ryuk勒索病毒又被发现疑似变种。之所以是疑似，是因为该病毒的部分代码结构与之前的Ryuk勒索病毒类似，代码中还有创建后缀名为.Ryk文件的行为，但未执行真正的加密操作。且功能从勒索变成了文件窃取，会在受害者电脑中搜索.docx和.xlsx为后缀的文件，上传到FTP服务器。目前尚无法确定这一次又是Ryuk的开发者改变了攻击方式，还是其他黑客修改了Ryuk的代码以用作他图。

图 8

图 9

二、样本分析

1、此次发现的样本跟之前一样会有反调试功能，但取消了之前注入系统进程的代码。

图 10

2、之后病毒直接开始遍历磁盘上的文件。

图 11

3、跳过一些指定的文件夹或文件。

图 12

4、指定要“加密”的文件后缀，但其后并未有加密文件的操作。

图 13

5、搜索.docx和.xlsx后缀的文件。

图 14

6、判断是否为word或Excel文件，

图 15

图 16

7、继续将验证通过的文件名与以下字符串进行比较，如果比较通过，就将其上传到FTP服务器。

personal

securityN-CSR10-SBEDGAR spy radaragentnewswire

marketwired

10-Q

fraud

hack

defence

attack

military

tank

secret

balance

statement

checking

saving

routing

finance

agreement

SWIFT

IBAN

license

Compilation

report

secret

confident

hidden

clandestine

illegal

compromate

privacy

private

contract

concealed

backdoorundercover

clandestine

investigation

federal

bureau

government

security

unclassified

seed

personal

confident

mail

letter

Passport

Important

marketwired10-Q10Q8KfraudhackNSAFBI

Newswire

scans

Emma

Liam

Olivia

Noah

William

Isabella

James

Sophia

Logan

CSI

8、FTP地址为66.42.76.46，账号密码硬编码在样本中，账号：anonymous，密码：anonymous。

图 17

图 18

9、获取ARP表，在网络中搜索可用的文件。

图 19

三、解决方案

病毒防御

深信服安全团队再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：

1、及时给电脑打补丁，修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件，不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

6、如果业务上无需使用RDP的，建议关闭RDP。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。