死神琉克(Ryuuku)是日本心理懸疑推理漫畫《Death Note》(《死亡筆記》)中的角色。琉克擁有一本死亡筆記,名字被寫在這本筆記上的人就會死。在勒索病毒界,有一個與日本系列漫畫《死亡筆記》中虛構人物死神同名的Ryuk勒索家族,在北美地區肆虐橫行, 曾在半年間非法獲利近 400 萬美元。目前,Ryuk勒索家族的魔爪已伸向國內,感染部分用戶。
近日,騰訊安全御見威脅情報中心捕獲到國內的一例Ryuk勒索病毒攻擊事件。不法黑客通過殭屍網絡、垃圾郵件進行病毒傳播,攻擊目標多為數據價值較高的政企機構,使用RSA+AES的方式加密用戶文件,且由攻擊者手動執行,病毒注入失敗,依然會在進程內執行勒索流程,Ryuk暫時無法解密。目前,騰訊電腦管家及騰訊御點終端安全管理系統已全面攔截並查殺該病毒。
(圖:騰訊電腦管家攔截並查殺該病毒)
需要注意的是,該病毒會將感染文件的後綴修改為RYK。Ryuk勒索模塊代碼大多沿用Hermes勒索病毒,二者具有相同的白名單過濾機制,Ryuk病毒運行後,會根據當前系統釋放不同的勒索模塊,進一步提高運行效率。
(圖:Ryuk勒索郵件文檔)
據部分統計,自 2018 年 8 月以來,有 100 多家美國企業相繼受到Ryuk病毒的影響,美國印第安納州拉波特縣遭Ryuk病毒攻擊被迫支付贖金 13 萬美元,弗羅裡達市遭Ryuk勒索攻擊向攻擊者支付 46 萬美元,Ryuk病毒嚴重威脅了政企單位的財產信息安全,類似案例不勝枚舉。
值得一提的是,Ryuk勒索者利用電子郵件釣魚,向數萬名大公司或政府機構受害者電腦發送「TrickBot」的木馬程序,一旦受害者打開附件並啟用宏,電腦中的所有數據將被直接鎖定,直到受害者聯繫黑客和發送一定的BTC作為贖金才會解除鎖定。Ryuk病毒作者在勒索信中「簡明扼要」,只留下名號和聯繫郵箱,開價 11 個比特幣,價值約 75 萬人民幣,索要贖金極高,進一步展示其強悍的斂財能力。
(圖:騰訊御點終端安全管理系統)
面對來勢洶洶的Ryuk勒索病毒,騰訊安全反病毒實驗室負責人馬勁松提醒政企機構務必高度重視,並提出三大安全建議:首先,加強企業網絡安全保護,及時下載並更新Windows系統補丁以及修復各類安全漏洞;其次,企業伺服器須使用高強度且無規律密碼,避免使用弱口令,定期更換密碼,以防遭不法黑客暴力破解;此外,推薦全網部署騰訊御點終端安全管理系統,終端殺毒和修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。