文章插图
据美国当地媒体报道，北卡罗来纳州达勒姆市不幸成为了Ryuk勒索软件的最新受害者 。为尽可能减轻损失，达勒姆市甚至禁止了达勒姆警察局对DCI网络的所有访问，最直接的影响就是，911呼叫中心“停摆”了 。

文章插图
图1. 美媒报道
Ryuk勒索软件简介说起Ryuk，日漫迷们肯定不会陌生，它正是日本动漫《死亡笔记》里那位爱吃苹果的死神的名字 。

文章插图
图2.日漫《死亡笔记》
在勒索软件圈里，Ryuk同样声名赫赫 。在其受害者名单上，不仅包括了美国北卡罗来纳州达勒姆市，还包括了美国国防部承包商EWA、律师事务所EPIQ全球、北美铁路公司RailWorks、克罗地亚最大的加油站连锁INA集团、零部件制造商Visser以及法国ISP和云服务提供商布列塔尼电信 。
据称，Ryuk勒索软件起源于同为勒索软件的Hermes，不仅延用了Hermes的绝大多数代码，甚至连文件唯一感染标识也继续沿用Hermes字串 。
说来也巧，网络安全公司Fortinet也在近日捕获到了Ryuk勒索软件的最新变种 。接下来，就让我们一起来看看该公司针对此新变种的技术分析 。
Ryuk勒索软件最新变种分析根据Fortinet研究人员的说法，勒索软件样本执行的第一步是将其实际有效载荷加压缩到内存中 。
在解压缩完成后，实际有效载荷将会被复制一次并重命名（一个由7个字母组成的随机名称） 。
接下来，重命名的副本将会被放置到执行目录中，后续使用“8 LAN”作为命令行参数调用 。
分析表明，第一次调用侧重于加密本地计算机和映射驱动器上的文件，而第二次调用则侧重于加密网络驱动器上的文件 。
总的来说，新的Ryuk勒索软件变种所采取的步骤可归纳为如下：

• 注入合法进程（限本地加密）
• 尝试终止可能干扰其操作的进程和服务
• 删除卷影副本并更改系统配置
• 尝试在受感染计算机建立持久性机制
• 唤醒网络设备（限网络加密）
• 加密文件

值得一提的是，最后一步将持续执行下去 。也就是说，Ryuk将持续不断地尝试在网络中探寻新的设备对其文件进行加密 。
注入合法进程
为了隐藏其恶意活动，这个Ryuk新变种会尝试将其代码注入除其自身、先前复制的文件或“csrss.exe”、“explorer.exe”和“lsaas.exe”之外的其他任何可以访问的32位进程中 。（注：代码编写似乎存在错误，“lsaas.exe”应该是“lsass.exe”） 。
终止进程和服务
在开始加密文件之前，这个Ryuk新变种还会使用预先定义的字符串列表来识别和终止与任何字符串匹配的正在运行的进程和服务，其中一些属于防病毒产品，具体如下：
目标进程：

• virtual
• vmcomp
• vmwp
• veeam
• backup
• Backup
• xchange
• sql
• dbeng
• sofos
• calc
• ekrn
• zoolz
• encsvc
• excel
• firefoxconfig
• infopath
• msaccess
• mspub
• mydesktop
• ocautoupds
• ocomm
• ocssd
• onenote
• oracle
• outlook
• powerpnt
• sqbcoreservice
• steam
• synctime
• tbirdconfig
• thebat
• thunderbirdvisio
• word
• xfssvccon
• tmlisten
• PccNTMon
• CNTAoSMgr
• Ntrtscan
• Mbamtray

目标服务：

• vmcomp
• vmwp
• veeam
• Back
• xchange
• ackup
• acronis
• sql
• Enterprise
• Sophos
• Veeam
• AcrSch
• Antivirus
• Antivirus
• bedbg
• DCAgent
• EPSecurity
• EPUpdate
• Eraser
• EsgShKernel
• FA_Scheduler
• IISAdmin
• IMAP4
• MBAM
• Endpoint
• Afee
• McShield
• task
• mfemms
• mfevtp
• mms
• MsDts
• Exchange
• ntrt
• PDVF
• POP3
• Report
• RESvc
• sacsvr
• SAVAdmin
• SamS
• SDRSVC
• SepMaster
• Monitor
• Smcinst
• SmcService
• SMTP
• SNAC
• swi_
• CCSF
• TrueKey
• tmlisten
• UI0Detect
• W3S
• WRSVC
• NetMsmq
• ekrn
• EhttpSrv
• ESHASRV
• AVP
• klnagent
• wbengine
• KAVF
• mfefire

Fortinet研究人员表示，由于匹配规则存在问题，一些本不在上述目标列表里的进程或服务也可能会被终止 。例如，服务“audioendpointbuilder”就意外被终止，这显然不是Ryuk开发者的目标，只因它包含了字符串“endpoint” 。

秒懂生活扩展阅读

• m11e配几条内存
• 小区业主占用公共走廊怎么办
• 苹果7最大内存是多少g
• iphone如何清理系统内存
• 电脑蓝屏c4是怎么回事
• 东芝wifi内存卡怎么用
• 海内存知己天涯若比邻什么意思
• iPhone7内存版本 iphone7内存
• 哪些硬件影响电脑的性能
• 手机清内存怎么清理