Ryuk勒索软件名声在外,这几年收获了上亿的勒索收入。Ryuk勒索软件通过现有的恶意软件感染目标网络,使用RSA和AES结合的方式进行加密。Ryuk已经非常成功了,但并不意味着其创建者停止发展和改进它了。在过去这些年,我们看到Ryuk勒索软件在不断的加入新的特征。
其中一个特征就是其加密文件的能力。如果Ryuk勒索软件遇到一个大于54.4Mb(57000000字节)的文件,就只加密文件的特定部分以节省时间,并且在研究人员和用户注意到之前尽可能快的加密文件。
Ryuk用来确定文件大小是否超过57000000字节的代码
部分加密的文件与正常加密的文件在footer部分会有所不同,其中Hermes保存用于加密文件内容的RSA加密的AES公钥。除了Ryuk使用的HERMES文件标记外,还可以看到文件中有多少个100万字节的块被加密了。如果该标记没有了,就表示整个文件会被加密。
Ryuk文件footer部分加密文件的块的数量
在最新的Ryuk版本中,计算footer长度的方式发生了变化。因此,Ryuk开发人员提供的解密器会截短文件,在解密文件过程中会删掉有些字节。根据具体文件类型的不同,这可能会引发一些问题。最好的情况是被删掉的字节并不会被有漏洞的解密器使用,这样就不会影响文件的解密。但对于VHD/VHDX这样的虚拟硬盘文件和在最后一个字节保存重要信息的Oracle数据库文件来说,删掉的字节可能会导致文件在解密后无法正常加载。