Ryuk Ransomware造成混亂：針對政府和醫院機構

深入了解Ryuk勒索軟件

Ryuk勒索軟件是一種先進的計算機威脅，已通過各種方式滲透到系統中，並且特別針對政府機構和醫院。有些人可能會從一種流行的日本漫畫中識別出這個名字。請注意，它與所說的漫畫無關，而只是名字。

Ryuk勒索軟件發出警告後，您將找到所有帶有擴展名“ .ryk”的文件。放置到位後，您的數據將無法使用。感染借助RSA（非對稱）和AES（對稱）加密算法鎖定文件。數據加密後，您立即在桌面上發現贖金記錄。它還顯示在每個包含鎖定數據的文件夾中。它稱為RyukReadMe，它是一個“ .html”或“ .txt”文件。您得到的確切贖金消息取決於您是受害者的類型。詳細地說，Ryuk給公司或類似機構（醫療機構，政府等）留下了不同的信息。兩種不同的註釋如下：

您面臨一個艱難的選擇。您必須決定是否信任網絡勒索者的可靠性並支付贖金。或者，不這樣做，則放棄文件。專家敦促您選擇後者。永遠記住，您在與網絡犯罪分子打交道，他們是不可信的。

Ryuk勒索軟件爆發

琉球（Ryuk）在其相對較短的壽命中就宣稱了令人印象深刻的受害者名單 。它於2018年8月首次發現，並在2019年佔勒索軟件攻擊的18％以上。

Ryuk在2019年在勒索軟件市場中的份額-來源：Coveware.com。

以下是Ryuk的一些目標清單：

• 里維埃拉海灘（2019年5月）
• 湖城（2019年6月）
• 坦帕電台（2019年6月）
• 喬治亞法院（2019年6月）
• 拉波特縣（2019年7月）
• 錫拉丘茲學校（2019年7月）
• 奧農達加縣圖書館（2019年7月）
• 巴特勒縣圖書館（2019年7月）
• 田納西州科利維爾（2019年7月）
• 喬治亞州亨利縣（2019年7月）
• 喬治亞州勞倫斯維爾警察局（2019年7月）

從里維埃拉海灘襲擊中，他得到了60萬美元。湖城一號帶來了46萬美元，拉波特（La Porte）帶來了13萬美元。受害人要求的確切贖金數額各不相同。據估計，到目前為止，Ryuk要求支付的款項接近3億美元。

Ryuk驚人的贖金要求使其超越了其他知名的勒索軟件威脅-來源：Coveware.com。

Ryuk Ransomware與Ransomware Marketplace相比的平均勒索-來源：Coveware.com。

對於勒索軟件，勒索付款並不總是等於數據解密。大多數類似的威脅往往不會兌現承諾，即在收到您的錢後向您發送解密密鑰。根據網絡研究人員的說法，Ryuk在這種意義上往往比其他此類感染更可靠。在88％的情況下，付款可成功解密。

“ Ryuk勒索軟件”的結果-來源：Coveware.com。

Ryuk在美國的110家療養院和醫院中入侵了80,000台計算機

Ryuk網絡瘟疫是由俄羅斯黑客發起的。 2019年11月17日，位於威斯康星州密爾沃基的雲託管公司Virtual Care Provider Inc.（VCPI）成為勒索軟件的受害者。那次襲擊造成了可怕的後果 。根據Virtual Care Provider Inc.的代表，對它們的攻擊導致超過80,000台計算機損壞。而且，有110所醫院和療養院癱瘓了，無法提供足夠的患者護理。

從根本上說，Ryuk在數家療養院和醫院中攻擊的系統使生命懸而未決。襲擊事件遍及45個州，當時，這些設施停止了照顧其客戶和患者的能力。幸運的是，對於其中的一些設施，他們手頭有錢來支付贖金要求，但是其他設施似乎丟失了一些關鍵數據。

Ryuk勒索軟件如何進入公司服務器？

Ryuk勒索軟件利用欺騙和手段入侵了服務器。黑客花了幾個月的時間向員工發送網絡釣魚電子郵件。電子郵件中包含惡意附件，通過單擊它們，員工為勒索軟件提供了一種進入公司內部服務器的方式。它允許俄羅斯黑客一點一點地抓住控制權。

這是Ryuk經常採用的一種策略-仿冒電子郵件。另一個涉及使用遠程桌面協議訪問。允許員工通過遠程訪問訪問其網絡而沒有採取適當保護措施的公司更容易受到Ryuk等威脅的攻擊。

Ryuk Ransomware常見攻擊向量-來源：Coveware.com。

Ryuk刪除程序包含32位和64位有效負載。它根據目標系統選擇使用哪個。在刪除有效負載之前，它還會檢查操作系統的版本，然後按照操作進行操作。

一旦進入內部，威脅將終止並禁用各種進程和服務。這些通常包含在預定義的列表中，並且往往屬於防病毒工具，數據庫，備份和其他軟件的領域。

Ryuk勒索軟件禁用的服務列表-來源：Zscaler.com。

Ryuk勒索軟件終止的進程列表-來源：Zscaler.com。

由於Ryuk勒索軟件而無人照顧的患者

勒索軟件攻擊了存儲醫院服務器的雲數據託管公司。數據託管公司對所有數據進行加密，包括醫療記錄和藥物管理數據。在Ryuk勒索軟件控制了公司的服務器之後，VCPI無法訪問患者記錄，賬單數據，電子郵件和電話系統，工資單操作甚至基本的Internet服務。網絡綁架者索要1400萬美元的贖金。由於這個價格對於VCPI而言太高了，他們沒有付清。這導致無數患者無法獲得所需的護理。 Ryuk勒索軟件有效地危害了許多人的生命。

一家名為Prosegur的私人安全公司也成為Ryuk勒索軟件的受害者。感染的攻擊導致該公司的網站在多個地區脫機。由於存在勒索軟件，安全警報無法正常工作！ Prosegur的客戶已轉至Twitter，以分享他們的警報器無法正常工作，並且他們在家裡不再感到安全。為此，他們擁有Ryuk勒索軟件。

專家認為，Ryuk勒索軟件的目的不是要竊取數據本身，而是要禁用基礎架構（更具體地講是服務器）並創建衝突。根據荷蘭國家網絡安全中心的報告，Ryuk勒索軟件已經攻擊了全球約1800個大型組織。 Ryuk勒索軟件具有首選受害者的“類型”。它背後的網絡犯罪分子傾向於對政府，教育和醫療機構，處理能源，水，公用事業的機構進行攻擊，這些機構涉及建築，化工，醫療，食品，娛樂和關鍵基礎設施等領域的行業。

2019年3月，Ryuk勒索軟件以40萬美元的價格收購了美國喬治亞州的一個縣。勒索軟件鎖定了他們的數據，並要求勒索大量贖金，就像勒索軟件威脅通常那樣。由於他們沒有備份，因此他們遵守了規定並付清了款項。值得慶幸的是，該縣收到了正確的解密密鑰，並設法取回了所有數據。但是，大多數其他勒索軟件攻擊並非如此。通常，您是否付款都無關緊要。因此，專家建議您不要遵從法規，並建議您始終備份數據並利用必要的反惡意軟件資源來幫助消除勒索軟件攻擊。