Ryuk勒索病毒最早在2018年8月由國外某安全公司發(fā)現(xiàn)并報道，此勒索病毒主要通過垃圾郵件或漏洞利用工具包進行傳播感染，相關(guān)報道指出Ryuk的代碼與Hermes勒索病毒代碼非常相似，而Hermes惡意軟件則與臭名昭著的朝鮮Lazarus  APT網(wǎng)絡(luò)犯罪組織有關(guān)，那Ryuk勒索病毒是不是也是由朝鮮Lazarus APT組織運營和傳播的呢？其實不是，根據(jù)CrowdStrike安全公司的報道說明Ryuk勒索病毒是由黑客組織GRIM SPIDER開發(fā)，GRIM SPIDER自2018年8月以來一直在幕后運營Ryuk勒索軟件，攻擊的目標(biāo)主要是一些國外大型企業(yè)與機構(gòu)，從這些大型企業(yè)獲得高額的贖金，這款勒索病毒曾經(jīng)還利用TrickBot銀行木馬的渠道來傳播自己，因為TrickBot銀行木馬傳播渠道的運營者是俄羅斯黑客團伙WIZARD SPIDER，GRIM SPIDER是俄羅斯黑客團伙WIZARD SPIDER的部門之一。

Ryuk這款勒索病毒在國外非常流行，國外相關(guān)媒體曾報道美國多家大型報社被該勒索病毒攻擊，導(dǎo)致發(fā)貨中斷，造成巨大損失，事實上任何一款流行的勒索病毒樣本背后都有一個強大的黑產(chǎn)運營團隊持續(xù)運營，就像GandCrab勒索病毒一樣，勒索病毒運營團隊負責(zé)這款勒索病毒的渠道更新擴展與傳播、樣本的變種與改進、以及解密贖金的運作等等，Ryuk勒索病毒背后也一定有一支強大的黑客運營團隊......

昨天國外惡意樣本威脅研究團隊MalwareHunterTeam捕獲到了一例新的Ryuk勒索病毒變種，該變種添加了一些IP地址黑名單，相匹配的計算機不會被加密，同時這款勒索病毒樣本采用了數(shù)字簽名，使用的數(shù)字簽名信息，如下所示： 查看證書，如下所示：
數(shù)字證書的有效期為2019/6/13-2020/6/13，數(shù)字證書頒發(fā)者機構(gòu)網(wǎng)站：【thawte】

此勒索病毒運行行為截圖，如下所示：


主機文件被加密后的文件后綴名為RYK,如下所示：
同時生成勒索信息超文本文件RyukReadMe.html，如下所示：
黑客只留下了聯(lián)系方式，受害者需要聯(lián)系黑客進行解密，兩個郵箱地址，如下：

sorcinacin@protonmail.com
neyhyretim@protonmail.com
 

勒索病毒核心技術(shù)剖析

此變種樣本同樣采用了代碼混淆加殼等技術(shù)，通過動態(tài)調(diào)試，解密出相關(guān)的數(shù)據(jù)，如下所示：
二次解密數(shù)據(jù)，如下所示：
最后再解密出相應(yīng)的勒索病毒核心代碼，經(jīng)過了三次解密操作，在內(nèi)存中還原最終的勒索病毒核心Payload程序，如下所示：
分析勒索病毒核心Payload，可以發(fā)現(xiàn)它增加了一IP黑名單字符串，在這些名單之內(nèi)的主機不會被加密，直接退出，如下所示：
相應(yīng)的IP地址字符串列表，如下：

10.30.4、10.30.5、10.30.6、10.31.32

同時它還增加了計算機名與相應(yīng)的字符串進行比較，如果計算機名中包含這些字符串，則不加密主機，如下所示：

獲取的計算機名稱與下面的一些字符串：

“SPB”，“Spb”，“spb”，“MSK”，“Msk”和“msk”進行比較， 如果計算機名稱包含這些字符串中的任何一個，Ryuk將不會加密此計算機。


這款勒索病毒也檢測了操作系統(tǒng)語言，如果為相關(guān)地區(qū)語言的主機，則不加密主機，如下所示：
相關(guān)的地區(qū)列表，如下：

419(LANG_RUSSIAN 俄 語 )、

422(LANG_UKRAINIAN 烏克蘭) 、

423(LANG_BELARUSIAN 白俄羅斯)

可以看到它主要是躲避了俄羅斯的相關(guān)地區(qū)，以防這些地區(qū)的主機被加密。


以上內(nèi)容由四川無國界(warmw001.com.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險管理咨詢服務(wù)。