新型Ryuk勒索软件变种具备自我传播能力

安全
法国国家网络安全机构 ANSSI 的专家近日发现了一种新型 Ryuk 勒索软件变种,该变种增加了蠕虫的功能,可以在本地网络中传播。

[[387126]]

法国国家网络安全机构 ANSSI 的专家近日发现了一种新型 Ryuk 勒索软件变种,该变种增加了蠕虫的功能,可以在本地网络中传播。

根据 ANSSI 发布的研究报告显示:“除常见的功能外,新版本的 Ryuk 勒索软件增加了在本地网络上蠕虫式传播的功能”,“通过计划任务、恶意软件在 Windows 域内的机器间传播。一旦启动,该恶意软件将在 Windows RPC 可达的每台计算机上传播”。

Ryuk 勒索软件的变种不包含任何阻止勒索软件执行的机制(类似使用互斥量检测),使用 rep.exe 或 lan.exe 后缀进行复制传播。

Ryuk 勒索软件在本地网络上列举所有可能的 IP 地址并发送 ICMP ping 进行探测。该恶意软件会列出本地 ARP 表缓存的 IP 地址,列出发现 IP 地址所有的共享资源并对内容进行加密。该变种还能够远程创建计划任务以此在主机上执行。攻击者使用 Windows 原生工具 schtasks.exe 创建计划任务。

最近发现的 Ryuk 变种具备自我复制能力,可以将可执行文件复制到已发现的网络共享上实现样本传播。紧接着会在远程主机上创建计划任务,最后为了防止用户进行文件回复还会删除卷影副本。

勒索软件 Ryuk 会通过设置注册表项 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost及其文件路径来实现持久化。

分析报告显示,Ryuk 勒索软件并不会检查计算机是否已被感染,恶意代码使用域内的高级帐户进行传播。安全专家指出,即使修改了用户密码,只要 Kerberos 票据尚未过期,蠕虫式的传播仍将继续。

解决问题方法是禁用用户账户,然后进行两次 KRBTGT 域密码更改。尽管这会在内部网络上带来很多麻烦,而且要伴随着多次重新启动,但这是值得的,可以立刻遏制恶意软件的传播和扩散。

可以查看报告原文获取更多信息。

参考来源:SecurityAffairs

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2023-11-08 14:23:55

2017-02-27 21:37:49

2020-11-12 09:57:33

勒索软件网络攻击安全威胁

2020-10-22 10:58:23

Ryuk 勒索

2021-01-10 08:51:39

勒索软件网络攻击漏洞

2017-06-21 17:57:42

2017-06-22 11:18:07

2014-12-26 14:35:34

2022-05-09 14:46:55

勒索软件数据保护

2015-03-03 10:18:27

2021-01-12 07:46:33

勒索软件Ryuk恶意软件

2020-05-09 10:01:51

LockBit勒索软件网络设备

2017-01-15 23:32:18

2014-08-05 13:46:36

2022-06-04 16:11:14

勒索软件加密Nokoyawa

2015-11-09 16:21:13

2020-09-10 14:31:50

网络安全

2020-10-22 10:08:04

Phobos勒索软件

2017-06-28 16:25:15

2014-08-05 16:38:08

点赞
收藏

51CTO技术栈公众号