資料結構
網路
關係資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C語言程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會研究
服裝研究
法律研究什麼是Ryuk勒索軟體?(傳播方式,如何檢測)
Ryuk,發音為“ree-yook”,是一個勒索軟體家族,最初出現在2018年中後期。在洛杉磯,《紐約時報》和《華爾街日報》共用一個印刷廠。這次攻擊也對它們造成了影響,導致這些出版物的週六版發行出現問題。
Ryuk感染系統後,首先會關閉180個服務和40個程序。這些服務和程序可能會妨礙Ryuk的操作,或者它們可能是執行攻擊所必需的。
然後可以進行加密。Ryuk使用AES-256加密來加密資料,包括影像、電影、資料庫和文件——所有你關心的東西。
之後,使用非對稱RSA-4096加密對稱加密金鑰。Ryuk可以遠端加密檔案,甚至包括管理員共享。它還可以執行Wake-On-Lan,喚醒機器進行加密。這些功能增強了加密的有效性和範圍,以及它可能造成的損害。
Ryuk勒索軟體是如何傳播的?
Ryuk勒索軟體採用動態的傳播方式,例項通常採用專門為其受害者設計的獨特策略。雖然大多數勒索軟體操作會撒下大網,試圖感染大量個人和組織,希望能成功一兩個,但Ryuk勒索軟體的部署是針對攻擊者試圖滲透的網路而量身定製的。
Ryuk勒索軟體的傳播通常會利用以下幾種初始攻擊:
直接連線到未受保護的RDP埠
使用釣魚郵件獲取遠端訪問許可權
使用電子郵件附件和下載來獲取網路訪問許可權
Emotet或TrickBot病毒廣泛用於傳播Ryuk勒索軟體。它只加密最重要的檔案,使其更難以發現。這些病毒反過來允許它們訪問並在網路中傳輸重要資產。為了防止受感染的系統恢復,Ryuk使用“.BAT”檔案。Ryuk會在開始加密過程之前嘗試刪除Windows VSS卷影副本。
Ryuk還會嘗試終止與某些舊版防病毒軟體相關的程式,例如Sophos和Symantec系統恢復程序。Ryuk為受害者的檔案生成AES金鑰,然後用另一個RSA金鑰對其進行加密。
在病毒在系統上的每個資料夾中寫入名為“RyukReadMe.txt”的文字檔案之前,它會感染系統上的每個磁碟和網路共享。贖金信就儲存在這裡。
如何檢測Ryuk勒索軟體?
即使是準備充分的機構也可能被Ryuk的爆發所摧毀。雖然從備份中恢復敏感資料或購買解密器可能是可能的,但計劃外的停機時間仍然會造成經濟損失,因為許多端點可能處於不穩定狀態,需要完全重建才能恢復執行。
最好的保護措施是制定檢測策略,並實現一定程度的自動化,以便立即阻止惡意軟體並防止其傳播到關鍵基礎設施。
作為MSP以及您的客戶,擁有勒索軟體檢測和緩解措施至關重要。勒索軟體檢測是備份系統的一項功能,可以幫助減輕勒索軟體攻擊的影響。
如果能夠及早檢測到攻擊,就可以快速隔離和恢復系統,避免向攻擊者支付贖金以進行解密。
為了檢測Ryuk勒索軟體,安全人員應注意以下症狀:
統計上不常見或新的二進位制檔案正在透過登錄檔執行鍵建立永續性。Ryuk在其許多演示中使用Microsoft的控制檯登錄檔工具(reg.exe)來建立名為**svchos**的登錄檔項。
安全服務已更改。Ryuk使用Microsoft的Net命令工具(net.exe)特別是停用安全帳戶管理器服務(samss)。
在公共使用者配置檔案下執行的二進位制檔案(例如,C:\Users\Public)
Microsoft的自主訪問控制列表工具正在向網路連線裝置的根目錄授予過多的訪問許可權(icacls.exe)
使用卷影複製服務管理實用程式或Windows管理規範命令列直譯器(wmic.exe)來刪除卷影副本(vssadmin.exe)
瀏覽量:153
