圖2.日漫《死亡筆記》

在勒索軟件圈裡，Ryuk同樣聲名赫赫。在其受害者名單上，不僅包括了美國北卡羅來納州達勒姆市，還包括了美國國防部承包商EWA、律師事務所EPIQ全球、北美鐵路公司RailWorks、克羅地亞最大的加油站連鎖INA集團、零部件製造商Visser以及法國ISP和雲服務提供商布列塔尼電信。

據稱，Ryuk勒索軟件起源於同為勒索軟件的Hermes，不僅延用了Hermes的絕大多數代碼，甚至連文件唯一感染標識也繼續沿用Hermes字串。

說來也巧，網絡安全公司Fortinet也在近日捕獲到了Ryuk勒索軟件的最新變種。接下來，就讓我們一起來看看該公司針對此新變種的技術分析。

Ryuk勒索軟件最新變種分析

根據Fortinet研究人員的說法，勒索軟件樣本執行的第一步是將其實際有效載荷加壓縮到內存中。

在解壓縮完成後，實際有效載荷將會被複制一次並重命名（一個由7個字母組成的隨機名稱）。

接下來，重命名的副本將會被放置到執行目錄中，後續使用“8 LAN”作為命令行參數調用。

分析表明，第一次調用側重於加密本地計算機和映射驅動器上的文件，而第二次調用則側重於加密網絡驅動器上的文件。

總的來說，新的Ryuk勒索軟件變種所採取的步驟可歸納為如下：

• 注入合法進程（限本地加密）
• 嘗試終止可能干擾其操作的進程和服務
• 刪除卷影副本並更改系統配置
• 嘗試在受感染計算機建立持久性機制
• 喚醒網絡設備（限網絡加密）
• 加密文件

值得一提的是，最後一步將持續執行下去。也就是說，Ryuk將持續不斷地嘗試在網絡中探尋新的設備對其文件進行加密。

注入合法進程

為了隱藏其惡意活動，這個Ryuk新變種會嘗試將其代碼注入除其自身、先前複製的文件或“csrss.exe”、“explorer.exe”和“lsaas.exe”之外的其他任何可以訪問的32位進程中。（注：代碼編寫似乎存在錯誤，“lsaas.exe”應該是“lsass.exe”）。

終止進程和服務

在開始加密文件之前，這個Ryuk新變種還會使用預先定義的字符串列表來識別和終止與任何字符串匹配的正在運行的進程和服務，其中一些屬於防病毒產品，具體如下：

目標進程：

• virtual
• vmcomp
• vmwp
• veeam
• backup
• Backup
• xchange
• sql
• dbeng
• sofos
• calc
• ekrn
• zoolz
• encsvc
• excel
• firefoxconfig
• infopath
• msaccess
• mspub
• mydesktop
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• steam
• synctime
• tbirdconfig
• thebat
• thunderbirdvisio
• word
• xfssvccon
• tmlisten
• PccNTMon
• CNTAoSMgr
• Ntrtscan
• Mbamtray

目標服務：

• vmcomp
• vmwp
• veeam
• Back
• xchange
• ackup
• acronis
• sql
• Enterprise
• Sophos
• Veeam
• AcrSch
• Antivirus
• Antivirus
• bedbg
• DCAgent
• EPSecurity
• EPUpdate
• Eraser
• EsgShKernel
• FA_Scheduler
• IISAdmin
• IMAP4
• MBAM
• Endpoint
• Afee
• McShield
• task
• mfemms
• mfevtp
• mms
• MsDts
• Exchange
• ntrt
• PDVF
• POP3
• Report
• RESvc
• sacsvr
• SAVAdmin
• SamS
• SDRSVC
• SepMaster
• Monitor
• Smcinst
• SmcService
• SMTP
• SNAC
• swi_
• CCSF
• TrueKey
• tmlisten
• UI0Detect
• W3S
• WRSVC
• NetMsmq
• ekrn
• EhttpSrv
• ESHASRV
• AVP
• klnagent
• wbengine
• KAVF
• mfefire

Fortinet研究人員表示，由於匹配規則存在問題，一些本不在上述目標列表裡的進程或服務也可能會被終止。例如，服務“audioendpointbuilder”就意外被終止，這顯然不是Ryuk開發者的目標，只因它包含了字符串“endpoint”。

圖3.因包含字符串“endpoint”，服務“audioendpointbuilder”被意外終止

刪除卷影副本並更改系統配置

如上所述，這個Ryuk新變種還會嘗試刪除任何卷影副本，以防止文件被還原。卷影副本是一項Microsoft服務，可創建計算機文件或卷的備份和/或快照，它的刪除可以通過執行如下命令來完成的：

1. cmd /c "WMIC.exe shadowcopy delet"
2. vssadmin.exe Delete Shadows /all /quiet

圖4.卷影複製命令

持久性機制

這個Ryuk新變種使用的是一種已知的簡單持久機制建立方法——使用cmd.exe設置如下注冊表項：

cmd.exe /C REG ADD “HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run“ /v "svchos" /t REG_SZ /d "\\" /f

如果是在64位系統上執行，它將在命令中添加字符串“/reg:64”。

喚醒網絡設備

為了儘可能多地加密文件，這個Ryuk新變種還會嘗試在開始加密網絡驅動器之前喚醒網絡上的計算機，該步驟由使用“8 LAN”命令行參數調用的進程執行。

圖5.喚醒局域網線程

為了遠程喚醒局域網內的計算機，Ryuk利用了稱為“局域網喚醒（Wake-on-LAN）”的功能 ，負責發送局域網喚醒數據包的函數如下圖所示：

圖6.數據包長度為102字節，其中包含FF FF FF FF FF FF FF字符串（包含主機MAC地址）

加密文件

如上所述，這個Ryuk新變種會嘗試同時加密本地驅動器和網絡驅動器上的文件。在加密之間，它會遍歷驅動器上的每一個文件，並檢查其完整路徑、文件名和文件擴展名，以確定是否應對其進行加密。

首先，它會檢查當前路徑是否包含如下字符串：

• Ahnlab
• Chrome
• Mozilla
• Windows
• $Recycle.bin

如果文件路徑包含上述字符串之一，則它將跳至下一個文件，而不會執行加密。

然後，它將使用一個硬編碼的字符串列表檢查當前文件的名稱，文件名稱列表如下：

• RyukReadMe.html
• UNIQUE_ID_DO_NOT_REMOVE
• boot
• PUBLIC
• PRIVATE
• \\Windows\\
• sysvol
• netlogon
• bin
• Boot
• dev
• etc
• lib
• initrd
• sbin
• sys
• vmlinux
• run
• var

如果文件名包含上述字符串中的任何一個，則它將跳至下一個文件，而不會執行加密。

圖7.被跳過的部分文件夾

驗證文件名後，它還將根據硬編碼列表來檢查當前文件的擴展名。如果存在匹配項，它將再次跳至下一個文件，文件擴展名列表如下：

• dll
• hrmlog
• exe
• .ini
• .lnk
• bootmgr
• boot

贖金票據

由這個Ryuk新變種釋放的贖金票據是一個簡單的簡單html文件，只留下了電子郵箱地址，沒有其他任何說明。

圖8. Ryuk新變種贖金票據

結語

鑑於Ryuk勒索軟件在過去幾年裡取得的成功，Fortinet研究人員估計它還將繼續活躍下去，並且會採取新的攻擊方法和策略。因此，詳盡瞭解Ryuk勒索軟的攻擊方法和策略十分重要，這將有助於我們有效地防禦它。

---

分享到:

---

閱讀更多 黑客視界 的文章

關鍵字: 北卡羅來納州 死亡筆記 網絡安全

---