死神琉克(Ryuuku)是日本心理悬疑推理漫画《Death Note》(《死亡笔记》)中的角色。琉克拥有一本死亡笔记,名字被写在这本笔记上的人就会死。在勒索病毒界,有一个与日本系列漫画《死亡笔记》中虚构人物死神同名的Ryuk勒索家族,在北美地区肆虐横行, 曾在半年间非法获利近400万美元。目前,Ryuk勒索家族的魔爪已伸向国内,感染部分用户。
近日,腾讯安全御见威胁情报中心捕获到国内的一例Ryuk勒索病毒攻击事件。不法黑客通过僵尸网络、垃圾邮件进行病毒传播,攻击目标多为数据价值较高的政企机构,使用RSA+AES的方式加密用户文件,且由攻击者手动执行,病毒注入失败,依然会在进程内执行勒索流程,Ryuk暂时无法解密。目前,腾讯电脑管家及腾讯御点终端安全管理系统已全面拦截并查杀该病毒。
(图:腾讯电脑管家拦截并查杀该病毒)
需要注意的是,该病毒会将感染文件的后缀修改为RYK。Ryuk勒索模块代码大多沿用Hermes勒索病毒,二者具有相同的白名单过滤机制,Ryuk病毒运行后,会根据当前系统释放不同的勒索模块,进一步提高运行效率。
(图:Ryuk勒索邮件文档)
据部分统计,自2018年8月以来,有100多家美国企业相继受到Ryuk病毒的影响,美国印第安纳州拉波特县遭Ryuk病毒攻击被迫支付赎金13万美元,弗罗里达市遭Ryuk勒索攻击向攻击者支付46万美元,Ryuk病毒严重威胁了政企单位的财产信息安全,类似案例不胜枚举。
值得一提的是,Ryuk勒索者利用电子邮件钓鱼,向数万名大公司或政府机构受害者电脑发送“TrickBot”的木马程序,一旦受害者打开附件并启用宏,电脑中的所有数据将被直接锁定,直到受害者联系黑客和发送一定的BTC作为赎金才会解除锁定。Ryuk病毒作者在勒索信中“简明扼要”,只留下名号和联系邮箱,开价11个比特币,价值约75万人民币,索要赎金极高,进一步展示其强悍的敛财能力。
(图:腾讯御点终端安全管理系统)
面对来势汹汹的Ryuk勒索病毒,腾讯安全反病毒实验室负责人马劲松提醒政企机构务必高度重视,并提出三大安全建议:首先,加强企业网络安全保护,及时下载并更新Windows系统补丁以及修复各类安全漏洞;其次,企业服务器须使用高强度且无规律密码,避免使用弱口令,定期更换密码,以防遭不法黑客暴力破解;此外,推荐全网部署腾讯御点终端安全管理系统,终端杀毒和修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
