Ryuk 被設計為一種有針對性的勒索軟體變體,這意味著它更注重受害者的品質而不是數量。 Ryuk 感染首先是透過非常有針對性的攻擊來感染目標受害者,然後是文件加密和巨額贖金要求。
Ryuk 勒索軟體背後的操作者採用有針對性的方法來選擇和感染受害者。 使用 Ryuk 勒索軟體的活動不是試圖感染大量電腦並索取相對較少的贖金(如 WannaCry),而是針對單一組織,並且對資料恢復的要價極高。
因此,Ryuk 通常通過非常有針對性的方式傳播。 其中包括使用自訂的魚叉式網路釣魚電子郵件以及利用受損的憑證透過遠端桌面協定 (RDP) 遠端存取系統。
魚叉式網路釣魚電子郵件可能直接攜帶 Ryuk,也可能成為一系列惡意軟體感染中的第一個。 艾莫特,秘密機器人和琉克是一種常見的組合。 透過 RDP,網路犯罪分子可以直接在目標電腦上安裝和執行 Ryuk,或利用其存取權限來存取和感染網路上其他更有價值的系統。
Ryuk 使用加密演算法的組合,包括對稱演算法 (AES-256) 和非對稱演算法 (RSA 4096)。 勒索軟體使用對稱演算法加密文件,並包含使用 RSA 公鑰加密的對稱加密金鑰的副本。 支付贖金後,Ryuk 業者會提供對應 RSA 私鑰的副本,從而能夠解密對稱加密金鑰並使用它來解密加密檔案。
如果勒索軟體加密了錯誤的文件,就會對受感染系統的穩定性構成嚴重威脅。 因此,Ryuk 故意避免加密某些文件類型(包括 .exe) 和 .dll) 和系統上某些文件夾中的文件。 雖然不是一個可靠的系統,但這會降低 Ryuk 破壞受感染的計算機的可能性,即使支付贖金,也使文件檢索更加困難或不可能。
Ryuk 被稱為最昂貴的勒索軟體變種之一,2020 年第一季的平均贖金要求達到 111,605 美元。 Ryuk 勒索資訊包含一個電子郵件地址,受害者可以透過該地址瞄準操作勒索軟體的網路犯罪分子,以接收有關如何支付贖金的說明。
但是,選擇支付贖金的組織可能並不總是得到他們支付的費用。 支付贖金要求應導致網絡犯罪分子發送解密金鑰和/或軟件,可以解密受害者的文件。 在大多數情況下,網絡犯罪分子會在不返回文件的訪問權限的情況下獲取贖金。
但是,即使網絡犯罪分子正在善意行動,也無法保證該組織將恢復對所有丟失的文件的訪問權限。 Ryuk 勒索軟體解密器的一個版本在程式碼中存在錯誤,在解密大檔案時會遺失最後一個位元組。 雖然在某些文件格式中,這個最後一個字節只是填充,在其他文件格式中,對於解釋文件很重要。 因此,即使他們支付贖金,Ryuk 受害者也不一定期望恢復所有加密的文件。
成為 Ryuk 勒索軟體攻擊的受害者對於組織來說代價極其高昂。 Ryuk 勒索軟體的營運商致力於開發有針對性的魚叉式網路釣魚誘餌,並要求高額贖金來解決問題。 但是,在某些情況下,即使支付贖金也不足以重新獲得公司對敏感或有價值的數據的訪問權限。
因此,嘗試阻止勒索軟體攻擊比對其做出反應要好得多。 如果可以在加密開始之前偵測到 Ryuk 惡意軟體,則可以以最小的組織成本來緩解事件。
部署Check Point 的反勒索軟體解決方案可以幫助組織防禦 Ryuk 和其他勒索軟體變體。 該工具可以監控常見的勒索軟體行為,甚至能夠偵測到零時差防勒索軟體變體。 由於合法程式不會表現出相同的行為,例如開啟和加密大量文件,因此Check Point 的反勒索軟體解決方案可以提供高保真勒索軟體偵測,並最大限度地減少與嘗試Ryuk 勒索軟體攻擊相關的損害和成本。