Ryuk Ransomware造成混乱：针对政府和医院机构

深入了解Ryuk勒索软件

Ryuk勒索软件是一种先进的计算机威胁，已通过某种方式渗透到系统中，并特别针对政府机构和医院。有些人可能会从一种流行的日本漫画中识别出这个名字。请注意，它与所说的漫画无关，而只是名字。

Ryuk勒索软件发出警告后，您将找到所有带有扩展名“ .ryk”的文件。放置到位后，您的数据将无法使用。感染借助RSA（非对称）和AES（对称）加密算法锁定文件。数据加密后，您立即在桌面上发现赎金记录。它还显示在每个包含锁定数据的文件夹中。它称为RyukReadMe，它是一个“ .html”或“ .txt”文件。您得到的确切赎金消息取决于您是受害者的类型。详细地说，Ryuk给公司或类似机构（医疗机构，政府等）留下了不同的信息。两种不同的注释如下：

您面临一个艰难的选择。您必须决定是否信任网络勒索者的可靠性并支付赎金。或者，不这样做，则放弃文件。专家敦促您选择后者。永远记住，您在与网络犯罪分子打交道，他们是不可信的。

Ryuk勒索软件爆发

琉球（Ryuk）在其相对较短的寿命中就宣称了令人印象深刻的受害者名单 。它于2018年8月首次发现，并在2019年占勒索软件攻击的18％以上。

Ryuk在2019年在勒索软件市场中的份额-来源：Coveware.com。

以下是Ryuk的一些目标清单：

• 里维埃拉海滩（2019年5月）
• 湖城（2019年6月）
• 坦帕电台（2019年6月）
• 乔治亚法院（2019年6月）
• 拉波特县（2019年7月）
• 锡拉丘兹学校（2019年7月）
• 奥农达加县图书馆（2019年7月）
• 巴特勒县图书馆（2019年7月）
• 田纳西州科利维尔（2019年7月）
• 乔治亚州亨利县（2019年7月）
• 乔治亚州劳伦斯维尔警察局（2019年7月）

从里维埃拉海滩袭击中，他得到了60万美元。湖城一号带来了46万美元，拉波特（La Porte）带来了13万美元。受害人要求的确切赎金数额各不相同。据估计，到目前为止，Ryuk要求支付的款项接近3亿美元。

Ryuk惊人的赎金要求使其超越了其他知名的勒索软件威胁-来源：Coveware.com。

Ryuk Ransomware与Ransomware Marketplace相比的平均勒索-来源：Coveware.com。

对于勒索软件，勒索付款并不总是等于数据解密。大多数类似的威胁往往不会兑现承诺，即在收到您的钱后向您发送解密密钥。根据网络研究人员的说法，Ryuk在这种意义上往往比其他此类感染更可靠。在88％的情况下，付款可成功解密。

“ Ryuk勒索软件”的结果-来源：Coveware.com。

Ryuk在美国的110家疗养院和医院中入侵了80,000台计算机

Ryuk网络瘟疫是由俄罗斯黑客发起的。 2019年11月17日，位于威斯康星州密尔沃基的云托管公司Virtual Care Provider Inc.（VCPI）成为勒索软件的受害者。那次袭击造成了可怕的后果 。根据Virtual Care Provider Inc.的代表，对它们的攻击导致超过80,000台计算机损坏。而且，有110所医院和疗养院瘫痪了，无法提供足够的患者护理。

从根本上说，Ryuk在数家疗养院和医院中攻击的系统使生命悬而未决。袭击事件遍及45个州，当时，这些设施停止了照顾其客户和患者的能力。幸运的是，对于其中的一些设施，他们手头有钱来支付赎金要求，但是其他设施似乎丢失了一些关键数据。

Ryuk勒索软件如何进入公司服务器？

Ryuk勒索软件利用欺骗和手段入侵了服务器。黑客花了几个月的时间向员工发送网络钓鱼电子邮件。电子邮件中包含恶意附件，通过单击它们，员工为勒索软件提供了一种进入公司内部服务器的方式。它允许俄罗斯黑客一点一点地抓住控制权。

这是Ryuk经常采用的一种策略-仿冒电子邮件。另一个涉及使用远程桌面协议访问。允许员工通过远程访问访问其网络而没有采取适当保护措施的公司更容易受到Ryuk等威胁的攻击。

Ryuk Ransomware常见攻击向量-来源：Coveware.com。

Ryuk删除程序包含32位和64位有效负载。它根据目标系统选择使用哪个。在删除有效负载之前，它还会检查操作系统的版本，然后按照操作进行操作。

一旦进入内部，威胁将终止并禁用各种进程和服务。这些通常包含在预定义的列表中，并且往往属于防病毒工具，数据库，备份和其他软件的领域。

Ryuk勒索软件禁用的服务列表-来源：Zscaler.com。

Ryuk勒索软件终止的进程列表-来源：Zscaler.com。

由于Ryuk勒索软件而无人照顾的患者

勒索软件攻击了存储医院服务器的云数据托管公司。数据托管公司对所有数据进行加密，包括医疗记录和药物管理数据。在Ryuk勒索软件控制了公司的服务器之后，VCPI无法访问患者病历，账单数据，电子邮件和电话系统，工资单操作甚至基本的Internet服务。网络绑架者索要1400万美元的赎金。由于这个价格对于VCPI而言太高了，他们没有付清。这导致无数患者无法获得所需的护理。 Ryuk勒索软件有效地危害了许多人的生命。

一家名为Prosegur的私人安全公司也成为Ryuk勒索软件的受害者。感染的攻击导致该公司的网站在多个地区脱机。由于存在勒索软件，安全警报无法正常工作！ Prosegur的客户已转至Twitter，以分享他们的警报器无法正常工作，并且他们在家里不再感到安全。为此，他们拥有Ryuk勒索软件。

专家认为，Ryuk勒索软件的目的不是要窃取数据本身，而是要禁用基础架构（更具体而言是服务器）并创建冲突。根据荷兰国家网络安全中心的报告，Ryuk勒索软件已经攻击了全球约1800个大型组织。 Ryuk勒索软件具有首选受害者的“类型”。它背后的网络犯罪分子倾向于对政府，教育和医疗机构，处理能源，水，公用事业的机构进行攻击，这些机构涉及建筑，化工，医疗，食品，娱乐和关键基础设施等领域的行业。

2019年3月，Ryuk勒索软件以40万美元的价格收购了美国乔治亚州的一个县。勒索软件锁定了他们的数据，并要求勒索大量赎金，就像勒索软件威胁通常那样。由于他们没有备份，因此他们遵守了规定并付清了款项。值得庆幸的是，该县收到了正确的解密密钥，并设法取回了所有数据。但是，大多数其他勒索软件攻击并非如此。通常，您是否付款都无关紧要。因此，专家建议您不要遵从法规，并建议您始终备份数据并利用必要的反恶意软件资源来帮助消除勒索软件攻击。