数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会研究
服装研究
法律研究什么是Ryuk勒索软件?(传播方式,如何检测)
Ryuk,发音为“ree-yook”,是一个勒索软件家族,最初出现在2018年中后期。在洛杉矶,《纽约时报》和《华尔街日报》共用一个印刷厂。这次攻击也对它们造成了影响,导致这些出版物的周六版发行出现问题。
Ryuk感染系统后,首先会关闭180个服务和40个进程。这些服务和进程可能会妨碍Ryuk的操作,或者它们可能是执行攻击所必需的。
然后可以进行加密。Ryuk使用AES-256加密来加密数据,包括图像、电影、数据库和文档——所有你关心的东西。
之后,使用非对称RSA-4096加密对称加密密钥。Ryuk可以远程加密文件,甚至包括管理员共享。它还可以执行Wake-On-Lan,唤醒机器进行加密。这些功能增强了加密的有效性和范围,以及它可能造成的损害。
Ryuk勒索软件是如何传播的?
Ryuk勒索软件采用动态的传播方式,实例通常采用专门为其受害者设计的独特策略。虽然大多数勒索软件操作会撒下大网,试图感染大量个人和组织,希望能成功一两个,但Ryuk勒索软件的部署是针对攻击者试图渗透的网络而量身定制的。
Ryuk勒索软件的传播通常会利用以下几种初始攻击:
直接连接到未受保护的RDP端口
使用钓鱼邮件获取远程访问权限
使用电子邮件附件和下载来获取网络访问权限
Emotet或TrickBot病毒广泛用于传播Ryuk勒索软件。它只加密最重要的文件,使其更难以发现。这些病毒反过来允许它们访问并在网络中传输重要资产。为了防止受感染的系统恢复,Ryuk使用“.BAT”文件。Ryuk会在开始加密过程之前尝试删除Windows VSS卷影副本。
Ryuk还会尝试终止与某些旧版防病毒软件相关的程序,例如Sophos和Symantec系统恢复进程。Ryuk为受害者的文件生成AES密钥,然后用另一个RSA密钥对其进行加密。
在病毒在系统上的每个文件夹中写入名为“RyukReadMe.txt”的文本文件之前,它会感染系统上的每个磁盘和网络共享。赎金信就保存在这里。
如何检测Ryuk勒索软件?
即使是准备充分的机构也可能被Ryuk的爆发所摧毁。虽然从备份中恢复敏感资料或购买解密器可能是可能的,但计划外的停机时间仍然会造成经济损失,因为许多端点可能处于不稳定状态,需要完全重建才能恢复运行。
最好的保护措施是制定检测策略,并实现一定程度的自动化,以便立即阻止恶意软件并防止其传播到关键基础设施。
作为MSP以及您的客户,拥有勒索软件检测和缓解措施至关重要。勒索软件检测是备份系统的一项功能,可以帮助减轻勒索软件攻击的影响。
如果能够及早检测到攻击,就可以快速隔离和恢复系统,避免向攻击者支付赎金以进行解密。
为了检测Ryuk勒索软件,安全人员应注意以下症状:
统计上不常见或新的二进制文件正在通过注册表运行键建立持久性。Ryuk在其许多演示中使用Microsoft的控制台注册表工具(reg.exe)来创建名为**svchos**的注册表项。
安全服务已更改。Ryuk使用Microsoft的Net命令工具(net.exe)特别是禁用安全帐户管理器服务(samss)。
在公共用户配置文件下运行的二进制文件(例如,C:\Users\Public)
Microsoft的自主访问控制列表工具正在向网络连接设备的根目录授予过多的访问权限(icacls.exe)
使用卷影复制服务管理实用程序或Windows管理规范命令行解释器(wmic.exe)来删除卷影副本(vssadmin.exe)
浏览量:153
