一，背景图详细介绍 Ryuk是这种根据垃圾短信和漏洞利用工具包散播的勒索软件病毒感染。这是由一间国外安全性企业于2018年年8月初次报导的。它的编码构造与HERMES勒索软件十分类似。稍早，令人信服的安全性精英团队对于31位。对Ryuk保释金病毒感染开展了深入分析，并高度关注勒索软件大家族的发展趋势。对捕捉的32位系统软件版本号的Ryuk勒索软件开展了详尽的技术指标分析。 二，信息内容简述 1. 勒索软件病毒感染的操作流程给出：

2. 诈骗信息内容如下图所示： 

3. 加密文件如下图所示

 三，深入分析

1. 获得系统软件版本号分辨： 

2. 进程涵数 - 停止xchange有关系统进程： 

3. 进程涵数 - 寻找要删掉的假脱机程序流程有关服务项目：

11. 提高系统进程管理权限： image.png 4. 获得系统进程的登陆客户信息：

6. 寻找1个'csrss.exe'，'explorer.exe'，'lsaas.exe'系统进程引入：

11. 代码执行引入全过程，依据系统软件版本号在系统目录下建立1个文件夹名称：

8. 获得API详细地址：

10 提升引入全过程的管理权限：

11. 转化成AES密匙并应用RSA公钥进行数据加密：

4. 破译诈骗文档信息内容：

12. 遍历硬盘并加密文件：

13. 在主目录中释放出来保释金文档“RyukReadMe.txt”：

 14. 清除“$ Recycle.Bin”，“AhnLab”，“Chrome”，“Mozilla”，“WINDOWS”，“RyukReadMe.txt”，“UNIQUE_ID_DO_NOT_REMOVE”，“PUBLIC”文件目录或文档，及其“dll/Dll /” Hrmlog/exe/EXE“种类文档：

15. 数据加密满足条件的文档：

5. 设定加密文件的数据加密ID：

17. 重新命名加密文件并加上“.RYK”尾缀：

 第三，解决方法 针对早已应用勒索软件的客户，提议尽早防护受感柒的服务器，由于沒有破译专用工具。深信，提示客户尽早搞好病毒检测和防御力对策，避免病毒感染大家族的勒索软件进攻。 病毒检测和杀毒

1，深信为众多客户出示免費杀毒专用工具，能够免费下载下列专用工具开展检测和杀毒。 http://edr.sangfor.com.cn/tool/SfabAntiBot.zip 2.深信EDR商品和服务器防火墙及其别的网络安全产品具备病毒检测作用。布署有关商品的客户能够实行病毒检测，如下图所示： 

病毒感染防御力 ��信安全性精英团队再度提示众多客户，勒索软件以避免关键，大部分文档在敲诈勒索软件加密后没法破译，留意平时防范措施：

1.立即修复电子计算机以修复漏洞。 2.每季度实行关键数据文件的非当地备份文件。

3.切勿点击来源于不明来源于的电子邮箱附注，也不必从不明网址下载应用。

11.试着关掉多余的文件共享管理权限。

4.变更账号登陆密码，设定强登陆密码，并防止应用一致登陆密码，由于一致登陆密码会造成密码泄露，好几个登陆密码遭到损害。 6.假如服务项目不用RDP，提议关掉RDP。当产生该类恶性事件时，提议应用深度1令人信服的服务器防火墙，或终端设备防护没有响应服务平台（EDR）微防护作用来阻拦3389等端口号以避免外扩散！ 11.深信服务器防火墙和终端设备检验与没有响应服务平台（EDR）具备防爆型作用。服务器防火墙开启此作用并开启11080051,11080027,11080016标准和EDR开启防爆型作用来防御力。 8，说动服务器防火墙的顾客，提议升級到AF805版本号，并开启人工智能技术模块Save以提高防御力实际效果。 最终，提议公司对全部互联网开展安全大检查和反病毒扫描仪，以提升维护。提议应用Deep Confidence Security Awareness + Firewall + EDR来检验，停止和维护內部互联网。