记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

注入型勒索病毒Ryuk,伸向x64系统的魔爪

一、背景介绍Ryuk是一款通过垃圾邮件和漏洞利用工具包传播的勒索病毒,最早在2018年8月由国外某安全公司报道,其代码结构与HERMES勒索病毒十分相似;早前,深信服安全团队针对32位的Ryuk勒索病毒进行了详细的技术分析,并密切关注该勒索家族的发展动向,对捕获的针对64位系统版本的Ryuk勒索病毒进行了详细的技术分析。二、信息概述1.勒索病毒的运行流程如图:2.勒索信息如图:3.加密后文件如图:三、详细分析1. 获取系统版本进行判断:2. 线程功能-终止xchange相关进程:3. 线程功能-查找spooler相关服务进行删除:4. 提升进程权限:5. 获取进程的登录用户信息:6. 查找"csrss.exe
发布时间:2019-02-22 12:20 | 阅读:37550 | 评论:0 | 标签:勒索软件 Ryuk 注入

Ryuk勒索软件完全报告

虽然圣诞节前夕全家在一起聚餐很快乐,但还是有很多企业在此期间陷入了困境。没有任何防备,对于Tribune出版社和Data Resolution的人来说,一场悄无声息的攻击正在通过他们的网络慢慢传播——加密数据和终止操作。而这次攻击来自一个相当新的名为Ryuk的勒索软件家族。Ryuk于2018年8月首次亮相,与我们分析的许多其他勒索软件家族不同,不是因为功能,而是它感染系统的方式很新颖。让我们来看看这个难以捉摸的新威胁。什么是Ryuk?是什么让它与其他勒索软件攻击不同?企业如何在未来阻止它以及类似威胁?一、何为Ryuk?Ryuk首次出现于2018年8月(August 2018),虽然在全球范围内并不是非常活跃,但至少有三
发布时间:2019-01-14 12:20 | 阅读:46531 | 评论:0 | 标签:勒索软件 Ryuk

针对Ryuk勒索软件的分析调查Part2

上一篇,我介绍了Ryuk的一些一本架构,本文我会接着介绍Ryuk和Hermes的其他技术相似之处(注入方法、加密方案),并对幕后团队的销赃行为进行分析。注入方法Ryuk使用的注入技术非常简单,首先使用OpenProcess获取目标进程的句柄,然后使用VirtualAllocEx在其地址空间中分配缓冲区。分配的缓冲区大小有恶意软件映像那么大,并且需要和恶意软件映像位于相同的基址。然后,恶意软件会将其当前的虚拟映像内容写入其中,并创建一个执行某些操作的线程。请注意,Ryuk通过将虚拟映像写入具有预定义分配基础的请求缓冲区后,由于缺少正确的代码重定位过程,就有可能发生所请求的地址不可用于分配的风险,从而导致代码注入执行失败。
发布时间:2018-09-19 12:20 | 阅读:55488 | 评论:0 | 标签:勒索软件 Ryuk

针对Ryuk勒索软件的分析调查Part1

近日,安全公司CheckPoint在一份报告中,介绍了一种新型的勒索软件——Ryuk,根据分析,该勒索软件背后的团队已经在短短两周内获得了价值超过64万美元的比特币。CheckPoint指出,此次类型的攻击比此前的勒索软件示例更具针对性,从开发阶段到加密过程,直到要求赎金,Ryuk的目标是那些有能力支付大量资金以使其网站重回正轨的企业。一旦被感染,这些公司就必须在两周内支付勒索者提出的比特币需求,否则受感染的文件将被自动删除。并且,赎金会因为勒索被忽视而每天增加。CheckPoint表示,可能会有更多的企业成为Ryuk攻击的受害者。针对Ryuk勒索软件的分析在过去的两周里,Ryuk疯狂的袭击了全球各个组织。不过到目前为
发布时间:2018-09-13 12:20 | 阅读:59419 | 评论:0 | 标签:Web安全 Ryuk

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云