优德88手机版本_优德88官方域名_优德w88app官方登录

admin 优德88手机客户端 2019-06-23 261 0

Ryuk勒索病毒最早在2018年8月由国外某安全公司发现并报导,此勒索病毒首要经过垃圾邮件或缝隙运用工具包进行传达感染,相关报导指出Ryuk的代码与Hermes勒索病毒代码十分类似,而Hermes歹意软件则与臭名昭着的朝鲜LazarusAPT网络违法安排有关,那Ryuk勒索病毒是不是也是由朝鲜Lazarus APT安排运营和传达的呢?

其实不是,依据CrowdStrike安全公司的报导阐明Ryuk勒索病毒是由黑客安排GRIM SPIDER开发,GRIM SPIDER自2018年8月以来一直在暗地运营Ryuk勒索软件,进犯的方针首要是一些国外大型企业与组织,从这些大型企业取得高额的赎金,这款勒索病毒从前还运用TrickBot银行木马的途径来传达自己,由于TrickBot银行木马传达途径的运营者是俄罗斯黑客团伙WIZARD SPIDER,GRIM SPIDER是俄罗斯黑客团伙WIZARD SPIDER的部分之一

Ryuk这款勒索病毒在国外十分盛行,国外相关媒体曾报导美国多家大型报社被该勒索病毒进犯,导致发货中止,形成巨大损失,事实上任何一款盛行的勒索病毒样本背面都有一个强壮的黑产运营团队继续运营,就像GandCrab勒索病毒相同,勒索病毒运营团队担任这款勒索病毒的途径更新扩展与传达、样本的变种与改善、以及解密赎金的运作等等,Ryuk勒索病毒背面也一定有一支强壮的黑客运营团队……

昨日国外歹意样本要挟研讨团队MalwareHunterTeam捕获到了一例新的Ryuk勒索病毒变种,该变种添加了一些IP地址黑名单,相匹配的核算机不会被加密,一起这款勒索病毒样本采用了数字签名,运用的数字签名信息,如下所示:

检查证书,如下所示:

数字证书的有效期为2019/6/13-2020/6/13,数字证书颁布者组织网站:https://www.thawte.com/repository/

此勒索病毒运转行为截图,如下所示:

主机文件被加密后的文件后缀名为RYK,如下所示:

一起生成勒索信息超文本文件RyukReadMe.html,如下所示:

黑客只留下了联络方式,受害者需求联络黑客进行解密,两个邮箱地址,如下:

sorcinacin@protonmail.com

neyhyretim@protonmail.com

勒索病毒中心技能剖析

此变种样本相同采用了代码混杂加壳等技能,经过动态调试,解密出相关的数据,如下所示:

二次解密数据,如下所示:

终究再解密出相应的勒索病毒中心代码,经过了三次解密操作,在内存中复原终究的勒索病毒中心Payload程序,如下所示:

剖析勒索病毒中心Payload,能够发现它增加了一IP黑名单字符串,在这些名单之内的主机不会被加密,直接退出,如下所示:

相应的IP地址字符串列表,如下:

10.30.4、10.30.5、10.30.6、10.31.32

一起它还增加了核算机名与相应的字符串进行比较,假如核算机名中包括这些字符串,则不加密主机,如下所示:

获取的核算机称号与下面的一些字符串:“SPB”,“Spb”,“spb”,“MSK”,“Msk”和“msk”进行比较, 假如核算机称号包括这些字符串中的任何一个,Ryuk将不会加密此核算机。

这款勒索病毒也检测了操作系统言语,假如为相关区域言语的主机,则不加密主机,如下所示:

相关的区域列表,如下:

419(LANG_RUSSIAN 俄 语 )、 422(LANG_UKRAINIAN 乌克兰) 、423(LANG_BELARUSIAN 白俄罗斯)

能够看到它首要是躲避了俄罗斯的相关区域,以防这些区域的主机被加密。

*本文作者: pandazhengzheng,转载自: CyberThreatAnalyst,转载请注明来历。

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。

最近发表

    w优德88com_w88优德中文网_w88优德投注

    http://www.soap-cream.com/

    |

    Powered By

    使用手机软件扫描微信二维码

    关注我们可获取更多热点资讯

    w88出品