新型Ryuk勒索軟件變種具備自我傳播能力
法國國家網絡安全機構 ANSSI 的專家近日發現了一種新型 Ryuk 勒索軟件變種,該變種增加了蠕蟲的功能,可以在本地網絡中傳播。
根據 ANSSI 發布的研究報告顯示:“除常見的功能外,新版本的 Ryuk 勒索軟件增加了在本地網絡上蠕蟲式傳播的功能”,“通過計劃任務、惡意軟件在 Windows 域內的機器間傳播。一旦啟動,該惡意軟件將在 Windows RPC 可達的每臺計算機上傳播”。
Ryuk 勒索軟件的變種不包含任何阻止勒索軟件執行的機制(類似使用互斥量檢測),使用 rep.exe 或 lan.exe 后綴進行復制傳播。
Ryuk 勒索軟件在本地網絡上列舉所有可能的 IP 地址并發送 ICMP ping 進行探測。該惡意軟件會列出本地 ARP 表緩存的 IP 地址,列出發現 IP 地址所有的共享資源并對內容進行加密。該變種還能夠遠程創建計劃任務以此在主機上執行。攻擊者使用 Windows 原生工具 schtasks.exe 創建計劃任務。
最近發現的 Ryuk 變種具備自我復制能力,可以將可執行文件復制到已發現的網絡共享上實現樣本傳播。緊接著會在遠程主機上創建計劃任務,最后為了防止用戶進行文件回復還會刪除卷影副本。
勒索軟件 Ryuk 會通過設置注冊表項 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost及其文件路徑來實現持久化。
分析報告顯示,Ryuk 勒索軟件并不會檢查計算機是否已被感染,惡意代碼使用域內的高級帳戶進行傳播。安全專家指出,即使修改了用戶密碼,只要 Kerberos 票據尚未過期,蠕蟲式的傳播仍將繼續。
解決問題方法是禁用用戶賬戶,然后進行兩次 KRBTGT 域密碼更改。盡管這會在內部網絡上帶來很多麻煩,而且要伴隨著多次重新啟動,但這是值得的,可以立刻遏制惡意軟件的傳播和擴散。
可以查看報告原文獲取更多信息。
參考來源:SecurityAffairs
