[[387126]]

[[387127]]

法國國家網絡安全機構 ANSSI 的專家近日發(fā)現了一種新型 Ryuk 勒索軟件變種，該變種增加了蠕蟲的功能，可以在本地網絡中傳播。

根據 ANSSI 發(fā)布的研究報告顯示：“除常見的功能外，新版本的 Ryuk 勒索軟件增加了在本地網絡上蠕蟲式傳播的功能”，“通過計劃任務、惡意軟件在 Windows 域內的機器間傳播。一旦啟動，該惡意軟件將在 Windows RPC 可達的每臺計算機上傳播”。

Ryuk 勒索軟件的變種不包含任何阻止勒索軟件執(zhí)行的機制(類似使用互斥量檢測)，使用 rep.exe 或 lan.exe 后綴進行復制傳播。

Ryuk 勒索軟件在本地網絡上列舉所有可能的 IP 地址并發(fā)送 ICMP ping 進行探測。該惡意軟件會列出本地 ARP 表緩存的 IP 地址，列出發(fā)現 IP 地址所有的共享資源并對內容進行加密。該變種還能夠遠程創(chuàng)建計劃任務以此在主機上執(zhí)行。攻擊者使用 Windows 原生工具 schtasks.exe 創(chuàng)建計劃任務。

最近發(fā)現的 Ryuk 變種具備自我復制能力，可以將可執(zhí)行文件復制到已發(fā)現的網絡共享上實現樣本傳播。緊接著會在遠程主機上創(chuàng)建計劃任務，最后為了防止用戶進行文件回復還會刪除卷影副本。

勒索軟件 Ryuk 會通過設置注冊表項 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost及其文件路徑來實現持久化。

分析報告顯示，Ryuk 勒索軟件并不會檢查計算機是否已被感染，惡意代碼使用域內的高級帳戶進行傳播。安全專家指出，即使修改了用戶密碼，只要 Kerberos 票據尚未過期，蠕蟲式的傳播仍將繼續(xù)。

解決問題方法是禁用用戶賬戶，然后進行兩次 KRBTGT 域密碼更改。盡管這會在內部網絡上帶來很多麻煩，而且要伴隨著多次重新啟動，但這是值得的，可以立刻遏制惡意軟件的傳播和擴散。

可以查看報告原文獲取更多信息。

參考來源：SecurityAffairs