一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

栏目: 编程工具 · 发布时间: 5年前

内容简介:Ryuk勒索病毒最新于2018年8月由国外某安全公司进行报道,短短两周内净赚超过64万美元的比特币,同时跟踪发现它与HERMES勒索病毒相关联,此外也有消息称HERMES勒索病毒与朝鲜黑客组织Lazarus有关联。Ryuk勒索病毒主要通过垃圾邮件以及漏洞利用工具包进行传播,专门用于自定义攻击,Ryuk的感染和传播过程都是由攻击者手动执行的,被加密的文件以.RYK后缀结尾。2019年1月份,美国一家印刷厂遭遇了网络攻击,导致美各大报纸发行受阻,根据内部消息,该印刷厂很可能被感染了Ryuk的勒索病毒,同时一家拥

一、样本简介

Ryuk勒索病毒最新于2018年8月由国外某安全公司进行报道,短短两周内净赚超过64万美元的比特币,同时跟踪发现它与HERMES勒索病毒相关联,此外也有消息称HERMES勒索病毒与朝鲜黑客组织Lazarus有关联。Ryuk勒索病毒主要通过垃圾邮件以及漏洞利用 工具 包进行传播,专门用于自定义攻击,Ryuk的感染和传播过程都是由攻击者手动执行的,被加密的文件以.RYK后缀结尾。

2019年1月份,美国一家印刷厂遭遇了网络攻击,导致美各大报纸发行受阻,根据内部消息,该印刷厂很可能被感染了Ryuk的勒索病毒,同时一家拥有30000家用户的云托管服务提供商在圣诞节前也遭遇了Ryuk勒索病毒的攻击。深信服安全团队密切关注此勒索病毒的最新进展,同时于第一时间拿到了相关样本,并对样本进行了详细分析,此勒索病毒打响了黑产团队2019年利用勒索病毒攻击的序幕。

二、详细分析

1.判断操作系统版本,设置自启动项,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

设置后的相应的自启动项,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

2.进程提权操作,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

提升进程为SeDebugPrivilege权限,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

3.遍历进程,获取进程的登录用户信息,设置令牌访问信息,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

4.遍历进程,如果进程不是csrss.exe、explorer.exe、lsass.exe这三个进程,则注入相应的勒索病毒入代码到进程中,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

注入进程,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

然后调用CreateRemoteThread执行相应的代码,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

5.获取相应的函数地址,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

6.获取系统版本信息,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

7.根据系统版本,在不同的路径下写入相应的文件,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

相应的路径为:

C:\Documents and Settings\DefaultUser\sys
C:\users\Public\sys

8.生成相应的密钥,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

使用RSA公钥加密生成的密钥,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

相应的反汇编代码,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

9.在内存中解密出相应的勒索信息,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

解密之后的信息,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

10.遍历磁盘,加密文件,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

遍历磁盘目录文件,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

排除Windows、Mozilia、Recycle.Bin、Chrome、AhnLab等目录,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

11.在加密的磁盘文件目录,生成RyukReadMe.txt勒索信息文本文件,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

生成的勒索信息文本文件内容,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

BTC钱包地址:1ChnbV4Rt7nsb5acw5YfYyvBFDj1RXcVQu

12.遍历文件,排除dll、lnk、hrmlog、ini、exe后缀的文件,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

同时排除如下文件名,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

13.加密文件,用加密后的文件替换原文件,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

加密后的文件名为[原文件名]+RYK结尾的后缀,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

加密文件的过程,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

14.同时此勒索病毒,会枚举网络资源,然后再加密网络资源目录下的文件,如下所示:

一款注入型勒索病毒Ryuk,拉开2019年勒索病毒攻击的序幕

三、解决方案

深信服EDR安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件
2.及时给主机打补丁(永恒之蓝漏洞补丁),修复相应的高危漏洞
3.对重要的数据文件定期进行非本地备份
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等
5.RDP远程服务器等连接尽量使用强密码,不要使用弱密码
6.安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能

 *本文作者:千里目安全实验室,转载请注明来自 FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C算法(第二卷:图算法)(第3版)

C算法(第二卷:图算法)(第3版)

塞德威克(Sedgewick Robert) / 周良忠 / 第1版 (2004年1月1日) / 2004-4 / 38.0

《C算法(第2卷)(图算法)(第3版)(中文版)》所讨论的图算法,都是实际中解决图问题的最重要的已知方法。《C算法(第2卷)(图算法)(第3版)(中文版)》的主要宗旨是让越来越多需要了解这些算法的人的能够掌握这些方法及基本原理。书中根据基本原理从基本住处开始循序渐进地讲解,然后再介绍一些经典方法,最后介绍仍在进行研究和发展的现代技术。精心挑选的实例、详尽的图示以及完整的实现代码与正文中的算法和应用......一起来看看 《C算法(第二卷:图算法)(第3版)》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

MD5 加密
MD5 加密

MD5 加密工具

SHA 加密
SHA 加密

SHA 加密工具