注入型勒索病毒Ryuk,伸向x64系统的魔爪
  

SANGFOR_智安全 1155

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-2-23 15:04 编辑

一、背景介绍

Ryuk是一款通过垃圾邮件和漏洞利用工具包传播的勒索病毒,最早在2018年8月由国外某安全公司报道,其代码结构与HERMES勒索病毒十分相似;早前,某公司安全团队针对32位的Ryuk勒索病毒进行了详细的技术分析,并密切关注该勒索家族的发展动向,对捕获的针对64位系统版本的Ryuk勒索病毒进行了详细的技术分析。


二、信息概述
1.勒索病毒的运行流程如图:
522415c70ef69d71e4.png

2.勒索信息如图:
969315c70ef773fa82.png

3.加密后文件如图:
897225c70ef81ca703.png

三、详细分析



1.获取系统版本进行判断:
248405c70ef8c84cb4.png

2.线程功能-终止xchange相关进程:
340605c70ef9c29fa2.png
258335c70efa53eec3.png

3.线程功能-查找spooler相关服务进行删除:
722995c70efaee2573.png
818995c70efb660e40.png

4.提升进程权限:
483225c70efbe92e53.png

5.获取进程的登录用户信息:
3135c70efc85e524.png

6.查找"csrss.exe"、"explorer.exe"、"lsaas.exe"进程中的一个进行注入:
929595c70efd28b3be.png
259295c70efdb2e3be.png

7.执行注入进程的代码,根据系统版本在系统目录下创建文件夹:
23725c70efe3a241d.png
218475c70efec45073.png

8.获取API地址:
38905c70eff664b52.png

9.提升注入进程的权限:
217335c70effe9f2a0.png

10.生成AES密钥并使用RSA公钥进行加密:
343255c70f0065affb.png

11.解密出勒索文件信息:
354395c70f00f330d1.png
213785c70f018b90d9.png

12.遍历磁盘,对文件进行加密:
916045c70f0228a86b.png

13.在根目录释放勒索文件“RyukReadMe.txt”:
645475c70f02bb29d6.png

14.除”$Recycle.Bin”、”AhnLab”、”Chrome”、”Mozilla”、”WINDOWS”、"RyukReadMe.txt"、"UNIQUE_ID_DO_NOT_REMOVE"、"PUBLIC"目录或文件,以及” dll/Dll/hrmlog/exe/EXE”类型的文件:
87845c70f033b98c3.png
498015c70f041e05bc.png

15.加密满足条件的文件:
771275c70f04b59dae.png

16.对加密文件设置已加密标识:
527405c70f04ac872c.png

17.重命名加密后的文件,添加”.RYK”后缀:
177975c70f06eae9d6.png

四、解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。某公司提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。


病毒检测查杀
1.某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

2.某公司EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
984945c70f079604e3.png

病毒防御

某公司安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1.及时给电脑打补丁,修复漏洞。
2.对重要的数据文件定期进行非本地备份。
3.不要点击来源不明的邮件附件,不从不明网站下载软件。
4.尽量关闭不必要的文件共享权限。
5.更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6.如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7.某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8.某公司防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

发表新帖
热门标签
全部标签>
每日一问
GIF动图学习
技术笔记
信服课堂视频
项目案例
产品连连看
安装部署配置
玩转零信任
在线直播
技术咨询
新版本体验
功能体验
专家分享
原创分享
技术圆桌
SDP百科
答题自测
畅聊IT
干货满满
安全攻防
用户认证
VPN 对接
SANGFOR资讯
功能咨询
专家问答
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
解决方案
sangfor周刊
技术顾问
信服故事
标准化排查
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人