Ryuk在受感染的主机上关闭了180多项服务赎金记录

一个名为Ryuk的新勒索软件正在进行监视行为，根据目前的报道，它背后的团队已经赚取了超过64万美元的比特币。

根据独立安全研究员MalwareHunter的说法，上周一，8月13日首次发现了使用这种勒索软件的攻击，他首次发布了关于这一新威胁的推文。

从本月13日开始，我们看到了5名勒索软件的受害者。其中至少有3家是公司（其中2家来自美国，1家来自德国，3家中有1家是医疗保健相关的）。 赎金票据似乎是Bitpaymer，加密文件似乎是Hermes。 这很奇怪。 @BleepinComputer @ demonslay335 - MalwareHunterTeam（@malwrhunterteam）2018年8月17日

Ryuk仅用于有针对性的攻击

过去一周有几起受害者关于Ryuk感染的报道，包括关于Bleeping Computer论坛的报道。

尽管有这些报道，来自不同公司的安全研究人员还没有成功地确定这些勒索软件如何传播和感染受害者。

常见的思路是这个勒索软件通过有针对性的攻击传播，Ryuk工作人员逐个地针对选定的公司，通过鱼叉式网络钓鱼电子邮件或互联网暴露和安全性较差的RDP连接，尽管研究人员还未能确定到目前为止感染的确切入境载体。

“根据我们现在所看到的情况，攻击似乎是针对性的，即一些手动同意的结果，”Check Point安全研究员Mark Lechtik 今天在一次私人谈话中告诉Bleeping Computer。

“原因是恶意软件需要管理员权限才能运行，而它本身并没有实现。执行它的其他任务必须实现这一特权，”他补充道。“但是没有找到任何工件来显示产生恶意软件的行为（即没有邮件，文档，脚本等）。”

Ryuk与以前与朝鲜有关的Hermes有联系

网络安全公司Check Point今天发布的一份报告也指出，Ryuk可能是开发Hermes勒索软件的同一个人的行为 - 或者至少是获得Hermes勒索软件源代码的人。

一个BAE系统公司报告，从2017年十月揭示拉撒路集团，它以前与朝鲜军队相关的民族国家网络间谍机使用的爱马仕2.0勒索软件源代码和恶意软件有联系。

当时，研究人员认为，Lazarus集团将Hermes部署在中国台湾远东国际银行（FEIB）的网络上，以掩盖他们企图从银行账户中窃取超过6,000万美元的网络抢劫案。

尽管被用作中国台湾银行抢劫案的转移，但爱马仕仍然是一个功能齐全且非常致命的勒索软件。

爱马仕于2017年2月首次被发现，当时Emsisoft研究员Fabian Wosar决定在YouTube直播中破解它。后来发布了第一个版本的解密器，这些版本仍然可以从这里或这里下载。Hermes v2作为回应很快就发布了，并且不能解密。

在FEIB银行抢劫之后，2017年11月发现了Hermes 2.1，随后Intezer Labs的报告也揭示了Hermes 2.1勒索软件的代码与过去的Lazarus Group工具之间的相似之处。

Hermes 2.1至今仍在使用，似乎与新的Ryuk威胁并行分布。不同之处在于Hermes 2.1通过大量电子邮件垃圾邮件活动进行分发，而Ryuk仅用于精心挑选的攻击。

Ryuk-Hermes的相似之处非常明显

两者之间的联系非常明显，至少对于一家分析两种勒索软件毒品的网络安全公司来说。

Check Point研究人员分析了最近的Ryuk变种，指出了过去Hermes版本和当前Ryuk样本之间的一些非常明显的联系，两者都共享大量代码。

发现了针对32位和64位系统的Ryuk版本，这表明勒索软件可以感染所有类型的系统，无论是新旧系统。在两个样本中都发现了代码与Hermes勒索软件的相似之处。

“不同架构之间代码的这种相似性很可能是潜在相同源代码的标志，”研究人员还表示。

Ryuk在受感染的主机上关闭了180多项服务

但也存在一些差异。Check Point和MalwareHunter都发现了一个主要问题，就是Ryuk附带了大量应用程序和服务，它会在感染受害者的系统之前关闭它们。

今天在勒索软件样本中找到184个停止命令。好多啊。 有趣的是，Sophos的字（NOCASE）是可以被发现的15倍...... @BleepinComputer @ demonslay335 pic.twitter.com/rOyIQ8rniK - MalwareHunterTeam（@malwrhunterteam），2018年8月18日

“通过在预定义的服务和流程名称列表上执行taskkill和net stop，勒索软件将杀死超过40个进程并停止超过180个服务，”Check Point研究人员在一份报告中解释说。

赎金目标难题

此外，Ryuk的目标性质永远不会比它的赎金票据更明显。Check Point表示它发现了几个Ryuk样本，其中勒索软件在用户系统上丢失了不同的赎金票据。

研究人员发现了一个冗长的，更冗长的赎金记录，以及另一个更直率和赎金的赎金要求。

两份赎金票据都要求受害者通过电子邮件联系Ryuk作者。巧合与否，通过较长和更详细的赎金票据所要求的赎金费用较高（50比特币~320,000美元），相比较短的赎金票据，骗子要求少量的钱（15-35比特币，约224,000美元） 。

Lechtik告诉Bleeping Computer，“似乎赎金票据有些改变” ，暗示这一特殊细节加起来假设Ryuk是在黑客感染网络而不是通过群发垃圾邮件之后部署的。

“这可能意味着可能有两个级别的攻势，”Check Point说，这表明Ryuk团伙也可能根据他们设法感染的组织部署不同的Ryuk样本，以及他们支付更高赎金费的能力。

在撰写本文时，Ryuk无法解密

至于勒索软件的加密，这是一个经典的AES-RSA组合，除非Ryuk团队在实施中犯了错误，否则通常是不可加密的。目前，研究人员尚未发现Ryuk的这种弱点。

与大多数精英勒索软件类似，为每个受害者创建了独特的比特币支付地址。Check Point表示，这些地址的资金不会过多，而且很快就会通过不同的帐户拆分和清洗。

虽然以前版本的爱马仕勒索软件一直是随机发生的大规模垃圾邮件威胁，但新的Ryuk勒索软件似乎是Lazarus集团开发SamSam类应变的新尝试。用于对选定组织的精确打击。

图片来源：Check Point，Bleeping Computer