法国国家网络安全机构ANSSI的专家近日发现了一个新的Ryuk勒索软件变种,它增加了蠕虫功能,可以在本地网络中传播。根据ANSSI发布的一份研究报告:“新版Ryuk勒索病毒除了常用功能外,还增加了在本地网络进行类蠕虫传播的功能”,“该恶意软件通过定时任务在Windows系统的机器间传播”域。一旦启动,恶意软件将在WindowsRPC可以到达的每台计算机上传播”。Ryuk勒索软件的变种不包含任何阻止勒索软件执行的机制(类似于使用互斥锁进行检测),并使用rep.exe或lan.exe后缀进行复制传播。Ryuk勒索软件会枚举本地网络上所有可能的IP地址,并发送ICMPping进行探测。该恶意软件列出了本地ARP表缓存的IP地址,列出了找到IP地址的所有共享资源,并对内容进行了加密。此变体还能够远程创建计划任务以在主机上执行。攻击者使用Windows原生工具schtasks.exe创建计划任务。最近发现的Ryuk变体能够自我复制,通过将可执行文件复制到已发现的网络共享来实现样本分发。然后它在远程主机上创建计划任务,最后删除卷影副本以防止用户恢复文件。勒索病毒Ryuk通过设置注册表项HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost及其文件路径实现持久化。分析报告显示,Ryuk勒索病毒不检查计算机是否被感染,恶意代码利用域内的高级账户进行传播。安全专家说,即使更改了用户密码,只要Kerberos票证没有过期,蠕虫式传播就会继续。解决方法是禁用用户帐户,然后更改两次KRBTGT域密码。虽然这会给内部网络带来很多麻烦和多次重启,但立即阻止恶意软件的传播和传播是值得的。您可以查看原始报告以获取更多信息。参考来源:SecurityAffairs
