[[387126]]

[[387127]]

法國(guó)國(guó)家網(wǎng)絡(luò)安全機(jī)構(gòu) ANSSI 的專家近日發(fā)現(xiàn)了一種新型 Ryuk 勒索軟件變種，該變種增加了蠕蟲的功能，可以在本地網(wǎng)絡(luò)中傳播。

根據(jù) ANSSI 發(fā)布的研究報(bào)告顯示：“除常見的功能外，新版本的 Ryuk 勒索軟件增加了在本地網(wǎng)絡(luò)上蠕蟲式傳播的功能”，“通過計(jì)劃任務(wù)、惡意軟件在 Windows 域內(nèi)的機(jī)器間傳播。一旦啟動(dòng)，該惡意軟件將在 Windows RPC 可達(dá)的每臺(tái)計(jì)算機(jī)上傳播”。

Ryuk 勒索軟件的變種不包含任何阻止勒索軟件執(zhí)行的機(jī)制(類似使用互斥量檢測(cè))，使用 rep.exe 或 lan.exe 后綴進(jìn)行復(fù)制傳播。

Ryuk 勒索軟件在本地網(wǎng)絡(luò)上列舉所有可能的 IP 地址并發(fā)送 ICMP ping 進(jìn)行探測(cè)。該惡意軟件會(huì)列出本地 ARP 表緩存的 IP 地址，列出發(fā)現(xiàn) IP 地址所有的共享資源并對(duì)內(nèi)容進(jìn)行加密。該變種還能夠遠(yuǎn)程創(chuàng)建計(jì)劃任務(wù)以此在主機(jī)上執(zhí)行。攻擊者使用 Windows 原生工具 schtasks.exe 創(chuàng)建計(jì)劃任務(wù)。

最近發(fā)現(xiàn)的 Ryuk 變種具備自我復(fù)制能力，可以將可執(zhí)行文件復(fù)制到已發(fā)現(xiàn)的網(wǎng)絡(luò)共享上實(shí)現(xiàn)樣本傳播。緊接著會(huì)在遠(yuǎn)程主機(jī)上創(chuàng)建計(jì)劃任務(wù)，最后為了防止用戶進(jìn)行文件回復(fù)還會(huì)刪除卷影副本。

勒索軟件 Ryuk 會(huì)通過設(shè)置注冊(cè)表項(xiàng) HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost及其文件路徑來實(shí)現(xiàn)持久化。

分析報(bào)告顯示，Ryuk 勒索軟件并不會(huì)檢查計(jì)算機(jī)是否已被感染，惡意代碼使用域內(nèi)的高級(jí)帳戶進(jìn)行傳播。安全專家指出，即使修改了用戶密碼，只要 Kerberos 票據(jù)尚未過期，蠕蟲式的傳播仍將繼續(xù)。

解決問題方法是禁用用戶賬戶，然后進(jìn)行兩次 KRBTGT 域密碼更改。盡管這會(huì)在內(nèi)部網(wǎng)絡(luò)上帶來很多麻煩，而且要伴隨著多次重新啟動(dòng)，但這是值得的，可以立刻遏制惡意軟件的傳播和擴(kuò)散。

可以查看報(bào)告原文獲取更多信息。

參考來源：SecurityAffairs