注入型勒索病毒Ryuk,伸向x64系统的魔爪

一、背景介绍Ryuk是一款通过垃圾邮件和漏洞利用工具包传播的勒索病毒,最早在2018年8月由国外某安全公司报道,其代码结构与HERMES勒索病毒十分相似;早前,深信服安全团队针对32位的Ryuk勒索病…

一,背景图详细介绍 Ryuk是这种根据垃圾短信和漏洞利用工具包散播的勒索软件病毒感染。这是由一间国外安全性企业于2018年年8月初次报导的。它的编码构造与HERMES勒索软件十分类似。稍早,令人信服的安全性精英团队对于31位。对Ryuk保释金病毒感染开展了深入分析,并高度关注勒索软件大家族的发展趋势。对捕捉的32位系统软件版本号的Ryuk勒索软件开展了详尽的技术指标分析。 二,信息内容简述 1. 勒索软件病毒感染的操作流程给出:

2. 诈骗信息内容如下图所示: 

3. 加密文件如下图所示

 三,深入分析

1. 获得系统软件版本号分辨: 

2. 进程涵数 - 停止xchange有关系统进程: 

3. 进程涵数 - 寻找要删掉的假脱机程序流程有关服务项目:

11. 提高系统进程管理权限: image.png 4. 获得系统进程的登陆客户信息:

6. 寻找1个'csrss.exe','explorer.exe','lsaas.exe'系统进程引入:

11. 代码执行引入全过程,依据系统软件版本号在系统目录下建立1个文件夹名称:

8. 获得API详细地址:

10 提升引入全过程的管理权限:

11. 转化成AES密匙并应用RSA公钥进行数据加密:

4. 破译诈骗文档信息内容:

12. 遍历硬盘并加密文件:

13. 在主目录中释放出来保释金文档“RyukReadMe.txt”:

 14. 清除“$ Recycle.Bin”,“AhnLab”,“Chrome”,“Mozilla”,“WINDOWS”,“RyukReadMe.txt”,“UNIQUE_ID_DO_NOT_REMOVE”,“PUBLIC”文件目录或文档,及其“dll/Dll /” Hrmlog/exe/EXE“种类文档:

15. 数据加密满足条件的文档:

5. 设定加密文件的数据加密ID:

17. 重新命名加密文件并加上“.RYK”尾缀:

 第三,解决方法 针对早已应用勒索软件的客户,提议尽早防护受感柒的服务器,由于沒有破译专用工具。深信,提示客户尽早搞好病毒检测和防御力对策,避免病毒感染大家族的勒索软件进攻。 病毒检测和杀毒

1,深信为众多客户出示免費杀毒专用工具,能够免费下载下列专用工具开展检测和杀毒。 http://edr.sangfor.com.cn/tool/SfabAntiBot.zip 2.深信EDR商品和服务器防火墙及其别的网络安全产品具备病毒检测作用。布署有关商品的客户能够实行病毒检测,如下图所示: 

病毒感染防御力 ��信安全性精英团队再度提示众多客户,勒索软件以避免关键,大部分文档在敲诈勒索软件加密后没法破译,留意平时防范措施:

1.立即修复电子计算机以修复漏洞。 2.每季度实行关键数据文件的非当地备份文件。

3.切勿点击来源于不明来源于的电子邮箱附注,也不必从不明网址下载应用。

11.试着关掉多余的文件共享管理权限。

4.变更账号登陆密码,设定强登陆密码,并防止应用一致登陆密码,由于一致登陆密码会造成密码泄露,好几个登陆密码遭到损害。 6.假如服务项目不用RDP,提议关掉RDP。当产生该类恶性事件时,提议应用深度1令人信服的服务器防火墙,或终端设备防护没有响应服务平台(EDR)微防护作用来阻拦3389等端口号以避免外扩散! 11.深信服务器防火墙和终端设备检验与没有响应服务平台(EDR)具备防爆型作用。服务器防火墙开启此作用并开启11080051,11080027,11080016标准和EDR开启防爆型作用来防御力。 8,说动服务器防火墙的顾客,提议升級到AF805版本号,并开启人工智能技术模块Save以提高防御力实际效果。 最终,提议公司对全部互联网开展安全大检查和反病毒扫描仪,以提升维护。提议应用Deep Confidence Security Awareness + Firewall + EDR来检验,停止和维护內部互联网。