Ryuk勒索病毒更新,俄罗斯黑客团伙幕后开发运营
责声明">
Ryuk勒索病毒最早在2018年8月由国外某安全公司发现并报道,此勒索病毒主要通过垃圾邮件或漏洞利用工具包进行传播感染,相关报道指出Ryuk的代码与Hermes勒索病毒代码非常相似,而Hermes恶意…
一位国外安全性企业于2016年8月初次发觉并汇报了Ryuk保释金病毒感染。保释金病毒感染关键根据垃圾短信或漏洞利用工具包散播。据报导,Ryuk的编码十分类似Hermes勒索软件编码和Hermes。恶意程序与臭名昭着的北朝鲜Lazarus APT网络犯罪机构相关。 Ryuk勒索软件是不是也由北朝鲜Lazarus APT机构经营和散播?事实上,依据CrowdStrike Security的报导,Ryuk勒索软件是由黑客组织GRIM SPIDER开发设计的。自2016年8月至今,GRIM SPIDER始终在台前幕后实际操作Ryuk勒索软件。进攻的关键总体目标是大中型国外企业和组织。这种大企业接到巨额保释金,而勒索软件以前应用TrickBot Bank特洛伊木马方式开展散播,由于TrickBot Bank木马病毒频道栏目的营运商是乌克兰网络黑客犯罪团伙WIZARD SPIDER,GRIM SPIDER是乌克兰网络黑客犯罪团伙WIZARD SPIDER的单位之四 Ryuk的勒索软件国外很火爆。
据外媒报道,英国很多大中型报刊遭受勒索软件进攻,造成交货终断并导致重大损失。
实际上,一切时兴的勒索软件样版身后常有强劲的作用。灰黑色生产制造经营精英团队再次经营,如同GandCrab勒索软件病毒感染相同。
勒索软件经营精英团队承担Ryuk勒索软件病毒感染身后的保释金病毒感染的频道栏目升级拓展和散播,样版变体和改善,及其破译保释金实际操作等。
必需有个强劲的网络黑客精英团队._ 昨日,国外故意样版威协科学研究精英团队MalwareHunterTeam捕捉了1个新的Ryuk勒索软件变种。
此变体加上了某些ip地址信用黑名单,配对的电子计算机将不容易被数据加密,勒索软件样版将开展电子签名。
电子签名信息内容给出: 查询资格证书给出:
ca证书有效期限为2021年/6/12-2019/6/12,ca证书发行人网址的网址: https://WWW.thawte.Com/repository/
这一勒索软件运作个人行为截屏给出: 服务器文档的文件后缀为RYK,给出如图所示:
还转化成勒索软件超文本文档RyukReadMe.html语言给出: 网络黑客只留有了联系电话,受害人必须联络网络黑客破译,
2个电子邮件地址给出: Sorcinacin@protonmail.Com Neyhyretim@protonmail.Com 勒索软件关键技术剖析 此变体实例还应用代码混淆和shelling等技术性。根据动态性调节,有关统计数据破译给出:
统计数据破译2次,给出如图所示:
最终,破译相对的勒索软件关键编码。历经多次破译实际操作后,最后的勒索软件关键Payload程序流程将在运行内存中修复,
给出如图所示: 根据剖析勒索软件关键Payload,你能发觉它加上了1个iP信用黑名单字符串,这种目录中的服务器不容易被数据加密,立即撤出,
如图所示: 相匹配的ip地址字符串目录给出: 10.30.4,10.30.5,10.30.6,10.31.32 它还会为相对的字符串加上电子计算机名字。要是电子计算机名字包括这种字符串,则服务器未数据加密,
给出如图所示: 获得具备下列一些字符串的电子计算机名字: 较为“SPB”,“Spb”,“spb”,“MSK”,“Msk”和“msk”。要是电子计算机名字包括一切这种字符串,
Ryuk将不容易数据加密此电子计算机。 此勒索软件可以检验电脑操作系统語言。要是这是有关地区語言的服务器,则服务器未数据加密,给出如图所示: 有关地区目录给出:
419(LANG_RUSSIAN俄语), 422(LANG_UKRAINIAN Ukraine),
423(LANG_BELARUSIAN白俄罗斯) 能够看得出,它关键是绕开乌克兰的有关地区,防止这种地区的服务器数据加密。 样版的别的个人行为与以前的剖析同样。它不容易被深入分析。您能够参照Qianlimu安全性精英团队公布的数据分析报告。
- 发表于 2019-06-24 08:00
- 阅读 ( 1933 )
- 分类:黑客技术
你可能感兴趣的文章
- 西安破获虚拟货币被盗案件,共涉及6亿元人民币 2529 浏览
- Hing所有WAF与块传输 2312 浏览
- 黑客利用ElasticSearch Groovy漏洞挖矿 5764 浏览
- FBI针对HTTPS网络钓鱼发布警告 1644 浏览
- 黑客利用Phobos勒索病毒二次加密!勒索钱财 1642 浏览
相关问题
0 条评论
请先 登录 后评论
