Ryuk勒索病毒传入国内，受害者被勒索11个比特币

一、概述

Ryuk本为日本系列漫画“死亡笔记”中的一个虚构人物，在漫画中Ryuk是一个死亡的恶魔，可以让发现“笔记”的人通过写下名字的方式杀死任何人。而在勒索病毒界，名为Ryuk的勒索家族主要通过僵尸网络、垃圾邮件等方式传播，在北美地区危害严重（参考资料列举了部分受害案例）。

该病毒的特点之一是倾向于攻击数据价值较高的政企机构，且赎金普遍极高（最近联系作者要价11个比特币，价值约75万元RMB），Ryuk的勒索家族起源于Hermes家族，最早的活跃迹象可追溯到2018年8月。

随着该病毒的入侵版图的不断扩张，近日腾讯安全御见威胁情报中心监测到该病毒在国内已有部分感染。由于该病毒使用RSA+AES的方式加密用户文件，暂时无法解密，故提醒各政企机构提高警惕。腾讯电脑管家及腾讯御点终端安全管理系统均可拦截该勒索病毒。

二、分析

Ryuk勒索病毒起源于Hermes勒索病毒，观察其代码可知，延用了Hermes勒索的绝大多数代码，与Hermes勒索病毒具有相同的白名单过滤机制，同时连文件唯一感染标识也继续沿用Hermes字串。

本次捕获到国内样本，运行后Dropper首先判断当前系统为x86或x64，释放运行不同的勒索模块，这样做将有利于病毒实施后续的注入逻辑，同时也进一步提高了病毒的运行效率。

病毒Dropper将使用异或的方式解密出恶意勒索模块，密钥为硬编码字串“4EQjBtPji”

随后针对其系统为x86或x64释放不同的随机名恶意勒索模块执行：

释放到Pulibc目录的随机名勒索病毒模块，同时设置系统隐藏属性：

还会将磁盘设置为共享模式：

分析释放出的Ryuk勒索模块可知与Hermes病毒高度相似，代码为直接修改自Hermes，例如下图中两个病毒基本一致的API地址获取序列：

虽然Ryuk勒索将感染文件的后缀修改为RYK，但在加密的文件附加数据中依然会写入Hermes字串，这是Hermes勒索病毒感染后文件的唯一标识。

Ryuk与Hermes白名单过滤也相同，加密时避开以下扩展后缀：dll，lnk，hrmlog，ini，exe，白名单目录均为：Winodws、Ahnlab、Chrome、Mozilla、$Recycle.Bin

且Ryuk加密时会避开Hermes的加密密钥存储文件，UNIQUE_ID_DO_NOT_REMOVE，PUBLLIC

Ryuk运行前会匹配关键词尝试结束一系列软件进程和服务，以防止加密过程中的文件占用。主要有以下部分：

进程名结束关键词：veeam、backup、backup、xchange、sql、dbeng、sofos、calc、ekrn、zoolz、encsvc、excel、firefoxconfig、infopath、msaccess、mspu、mydesktop、ocautoupds、ocomm、ocssd、onenote、oracle、outlook、powerpnt、sqbcoreservice、steam、synctime、tbirdconfig、thebat、thunderbird、visio、word、xfssvccon、tmlisten、pccntmon、cntaosmgr、ntrtscan、Mbamtray。

服务名停止关键词：Veeam、Back、xchange、ackup、acronis、sql、Enterprise、Sophos、Veeam、AcrS、Antivirus、Antivirus、bedbg、DCAgent、EPSecurity、EPUpdate、Eraser、EsgShKernel、FA_Scheduler、IISAdmin、IMAP4、MBAM、Endpoint、Afee、McShield、Task、mfemms、mfevtp、mms、MsDts、Exchange、ntrt、PDVF、POP3、Report、RESvc、sacsvr、SAVAdmin、SamS、SDRSVC、SepMaster、Monitor、Smcinst、SmcService、SMTP、SNAC、CCSF、TrueKey、tmlisten、UI0Detect、W3S、WRSVC、NetMsmq、ekrn、EhttpSrv、ESHASRV、AVP、klnagent、wbengine、KAVF、mfefire。

Ryuk勒索与Hermes相比较，代码新增加将自身内存映像直接注入系统进程执行：

而真实环境中，由于病毒进程与目标注入进程基地址并不一致，病毒注入方式可能导致目标进程崩溃。注入失败后，病毒依然会在病毒本身进程内执行勒索流程。

病毒使用的硬编码RSA公钥信息：

文件被加密后将被添加RYK扩展后缀：

Ryuk留下的勒索信十分简单明了，只有两个勒索联系邮箱和勒索病毒名号。

尝试与攻击者联系，很快受到了对方的回复，对方要价11个比特币购买解密工具，按照当前比特币价格估算约75W RMB，可谓狮子大开口。

IOCsMD5:

f25d46ed16f5ed9e05822e572b300056

5888a6cbf8ea7daceb57a74a7781558a

185f3016884751a854cd4c34b4cc7c44

勒索邮箱：

naywisende1984@protonmail.com

damiroban1988@protonmail.com

安全建议企业用户：

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据（数据库等数据）进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

8、建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户：

1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码；

2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。

参考资料

Ryuk勒索病毒在北美地区的感染案例：

1.美国印第安纳州拉波特县遭Ryuk勒索病毒攻击，支付赎金13万美元

https://www.bleepingcomputer.com/news/security/la-porte-county-pays-130-000-ransom-to-ryuk-ransomware/

2.弗罗里达市遭Ryuk勒索攻击向黑客支付46万美元比特

https://gizmodo.com/florida-city-fires-it-employee-after-paying-460-000-in-1836031022

3.美国联邦调查局发现，自2018年8月以来，有100多家美国企业受到Ryuk Ransomware的影响

https://securityintelligence.com/news/more-than-100-us-businesses-affected-by-ryuk-ransomware-since-august-2018-finds-fbi/

4.HRM勒索病毒预警 企业用户须小心钓鱼邮件和RDP爆破攻击（和Hermes勒索病毒极其相似）

https://mp.weixin.qq.com/s/_KJZx7gZKA6JZSv8jiHJLg

声明：本文来自腾讯御见威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。