法国国家 *** 安全机构 ANSSI 专家最近发现了一种新型 Ryuk 勒索软件变种,增加蠕虫功能,可在本地 *** 中传播。
根据 ANSSI 发布的研究报告显示:“除了常见的功能外,新版本的 Ryuk 勒索软件增加了蠕虫在本地 *** 上传播的功能”,“ Windows 域内机器间传播。恶意软件一旦启动,将在 Windows RPC 在可达的每台计算机上传播”。
Ryuk 勒索软件的变种不包含任何阻止勒索软件执行的机制(类似使用互斥量检测),使用 rep.exe 或 lan.exe 复制传播后缀。
Ryuk 勒索软件在本地 *** 上列出了所有可能的 IP并发送 地址ICMP ping 探测。恶意软件将列出本地 ARP 表缓存 IP发现 地址列出IP 地址所有共享资源并加密内容。该变体还可以在主机上远程创建计划任务。攻击者使用 Windows 原生工具 schtasks.exe 创建计划任务。
最近发现的 Ryuk 变体具有自我复制能力,可将可执行文件复制到发现的 *** 共享中,实现样本传播。然后在远程主机上创建计划任务,最后删除文件副本,以防止用户回复文件。
勒索软件 Ryuk 会通过设置注册表项 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost实现文件路径的持久化。
分析报告显示,Ryuk 勒索软件不检查计算机是否被感染,恶意代码使用该领域的高级账户进行传输。安全专家指出,即使用户密码被修改,只要 Kerberos 账单尚未过期,蠕虫传播将继续。
解决问题的 *** 是禁止用户账户,然后进行两次 KR *** GT 域密码更改。虽然这会给内部 *** 带来很多麻烦,需要多次重启,但值得立即遏制恶意软件的传播。
查看报告原文以获取更多信息。
参考来源:SecurityAffairs