Ryuk勒索病毒更新，俄羅斯黑客團伙幕後開發運營

Ryuk勒索病毒最早在2018年8月由國外某安全公司發現並報道，此勒索病毒主要通過垃圾郵件或漏洞利用工具包進行傳播感染，相關報道指出Ryuk的代碼與Hermes勒索病毒代碼非常相似，而Hermes惡意軟件則與臭名昭著的朝鮮LazarusAPT網絡犯罪組織有關，那Ryuk勒索病毒是不是也是由朝鮮Lazarus APT組織運營和傳播的呢？

其實不是，根據CrowdStrike安全公司的報道說明Ryuk勒索病毒是由黑客組織GRIM SPIDER開發，GRIM SPIDER自2018年8月以來一直在幕後運營Ryuk勒索軟件，攻擊的目標主要是一些國外大型企業與機構，從這些大型企業獲得高額的贖金，這款勒索病毒曾經還利用TrickBot銀行木馬的渠道來傳播自己，因為TrickBot銀行木馬傳播渠道的運營者是俄羅斯黑客團伙WIZARD SPIDER，GRIM SPIDER是俄羅斯黑客團伙WIZARD SPIDER的部門之一

Ryuk這款勒索病毒在國外非常流行，國外相關媒體曾報道美國多家大型報社被該勒索病毒攻擊，導致發貨中斷，造成巨大損失，事實上任何一款流行的勒索病毒樣本背後都有一個強大的黑產運營團隊持續運營，就像GandCrab勒索病毒一樣，勒索病毒運營團隊負責這款勒索病毒的渠道更新擴展與傳播、樣本的變種與改進、以及解密贖金的運作等等，Ryuk勒索病毒背後也一定有一支強大的黑客運營團隊……

昨天國外惡意樣本威脅研究團隊MalwareHunterTeam捕獲到了一例新的Ryuk勒索病毒變種，該變種添加了一些IP地址黑名單，相匹配的計算機不會被加密，同時這款勒索病毒樣本採用了數字簽名，使用的數字簽名信息，如下所示：

查看證書，如下所示：

數字證書的有效期為2019/6/13-2020/6/13，數字證書頒發者機構網站：https://www.thawte.com/repository/

此勒索病毒運行行為截圖，如下所示：

主機文件被加密後的文件後綴名為RYK,如下所示：

同時生成勒索信息超文本文件RyukReadMe.html，如下所示：

黑客只留下了聯繫方式，受害者需要聯繫黑客進行解密，兩個郵箱地址，如下：

[email protected]
[email protected]

勒索病毒核心技術剖析

此變種樣本同樣採用了代碼混淆加殼等技術，通過動態調試，解密出相關的數據，如下所示：

二次解密數據，如下所示：

最後再解密出相應的勒索病毒核心代碼，經過了三次解密操作，在內存中還原最終的勒索病毒核心Payload程序，如下所示：

分析勒索病毒核心Payload，可以發現它增加了一IP黑名單字符串，在這些名單之內的主機不會被加密，直接退出，如下所示：

相應的IP地址字符串列表，如下：

10.30.4、10.30.5、10.30.6、10.31.32

同時它還增加了計算機名與相應的字符串進行比較，如果計算機名中包含這些字符串，則不加密主機，如下所示：

獲取的計算機名稱與下面的一些字符串：“SPB”，“Spb”，“spb”，“MSK”，“Msk”和“msk”進行比較， 如果計算機名稱包含這些字符串中的任何一個，Ryuk將不會加密此計算機。

這款勒索病毒也檢測了操作系統語言，如果為相關地區語言的主機，則不加密主機，如下所示：

相關的地區列表，如下：

419(LANG_RUSSIAN 俄 語 )、422(LANG_UKRAINIAN 烏克蘭) 、423(LANG_BELARUSIAN 白俄羅斯)

可以看到它主要是躲避了俄羅斯的相關地區，以防這些地區的主機被加密。

*本文作者： 熊貓正正，轉載自FreeBuf.COM