Ryuk勒索病毒最早在2018年8月由國(guó)外某安全公司發(fā)現(xiàn)并報(bào)道，此勒索病毒主要通過(guò)垃圾郵件或漏洞利用工具包進(jìn)行傳播感染，相關(guān)報(bào)道指出Ryuk的代碼與Hermes勒索病毒代碼非常相似，而Hermes惡意軟件則與臭名昭著的朝鮮Lazarus  APT網(wǎng)絡(luò)犯罪組織有關(guān)，那Ryuk勒索病毒是不是也是由朝鮮Lazarus APT組織運(yùn)營(yíng)和傳播的呢？其實(shí)不是，根據(jù)CrowdStrike安全公司的報(bào)道說(shuō)明Ryuk勒索病毒是由黑客組織GRIM SPIDER開(kāi)發(fā)，GRIM SPIDER自2018年8月以來(lái)一直在幕后運(yùn)營(yíng)Ryuk勒索軟件，攻擊的目標(biāo)主要是一些國(guó)外大型企業(yè)與機(jī)構(gòu)，從這些大型企業(yè)獲得高額的贖金，這款勒索病毒曾經(jīng)還利用TrickBot銀行木馬的渠道來(lái)傳播自己，因?yàn)門(mén)rickBot銀行木馬傳播渠道的運(yùn)營(yíng)者是俄羅斯黑客團(tuán)伙WIZARD SPIDER，GRIM SPIDER是俄羅斯黑客團(tuán)伙WIZARD SPIDER的部門(mén)之一。

Ryuk這款勒索病毒在國(guó)外非常流行，國(guó)外相關(guān)媒體曾報(bào)道美國(guó)多家大型報(bào)社被該勒索病毒攻擊，導(dǎo)致發(fā)貨中斷，造成巨大損失，事實(shí)上任何一款流行的勒索病毒樣本背后都有一個(gè)強(qiáng)大的黑產(chǎn)運(yùn)營(yíng)團(tuán)隊(duì)持續(xù)運(yùn)營(yíng)，就像GandCrab勒索病毒一樣，勒索病毒運(yùn)營(yíng)團(tuán)隊(duì)負(fù)責(zé)這款勒索病毒的渠道更新擴(kuò)展與傳播、樣本的變種與改進(jìn)、以及解密贖金的運(yùn)作等等，Ryuk勒索病毒背后也一定有一支強(qiáng)大的黑客運(yùn)營(yíng)團(tuán)隊(duì)......

昨天國(guó)外惡意樣本威脅研究團(tuán)隊(duì)MalwareHunterTeam捕獲到了一例新的Ryuk勒索病毒變種，該變種添加了一些IP地址黑名單，相匹配的計(jì)算機(jī)不會(huì)被加密，同時(shí)這款勒索病毒樣本采用了數(shù)字簽名，使用的數(shù)字簽名信息，如下所示： 查看證書(shū)，如下所示：
數(shù)字證書(shū)的有效期為2019/6/13-2020/6/13，數(shù)字證書(shū)頒發(fā)者機(jī)構(gòu)網(wǎng)站：【thawte】

此勒索病毒運(yùn)行行為截圖，如下所示：


主機(jī)文件被加密后的文件后綴名為RYK,如下所示：
同時(shí)生成勒索信息超文本文件RyukReadMe.html，如下所示：
黑客只留下了聯(lián)系方式，受害者需要聯(lián)系黑客進(jìn)行解密，兩個(gè)郵箱地址，如下：

sorcinacin@protonmail.com
neyhyretim@protonmail.com
 

勒索病毒核心技術(shù)剖析

此變種樣本同樣采用了代碼混淆加殼等技術(shù)，通過(guò)動(dòng)態(tài)調(diào)試，解密出相關(guān)的數(shù)據(jù)，如下所示：
二次解密數(shù)據(jù)，如下所示：
最后再解密出相應(yīng)的勒索病毒核心代碼，經(jīng)過(guò)了三次解密操作，在內(nèi)存中還原最終的勒索病毒核心Payload程序，如下所示：
分析勒索病毒核心Payload，可以發(fā)現(xiàn)它增加了一IP黑名單字符串，在這些名單之內(nèi)的主機(jī)不會(huì)被加密，直接退出，如下所示：
相應(yīng)的IP地址字符串列表，如下：

10.30.4、10.30.5、10.30.6、10.31.32

同時(shí)它還增加了計(jì)算機(jī)名與相應(yīng)的字符串進(jìn)行比較，如果計(jì)算機(jī)名中包含這些字符串，則不加密主機(jī)，如下所示：

獲取的計(jì)算機(jī)名稱與下面的一些字符串：

“SPB”，“Spb”，“spb”，“MSK”，“Msk”和“msk”進(jìn)行比較， 如果計(jì)算機(jī)名稱包含這些字符串中的任何一個(gè)，Ryuk將不會(huì)加密此計(jì)算機(jī)。


這款勒索病毒也檢測(cè)了操作系統(tǒng)語(yǔ)言，如果為相關(guān)地區(qū)語(yǔ)言的主機(jī)，則不加密主機(jī)，如下所示：
相關(guān)的地區(qū)列表，如下：

419(LANG_RUSSIAN 俄 語(yǔ) )、

422(LANG_UKRAINIAN 烏克蘭) 、

423(LANG_BELARUSIAN 白俄羅斯)

可以看到它主要是躲避了俄羅斯的相關(guān)地區(qū)，以防這些地區(qū)的主機(jī)被加密。


以上內(nèi)容由四川無(wú)國(guó)界(mqptxio.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險(xiǎn)管理咨詢服務(wù)。