Ryuk：您需要了解的有关当今最危险的勒索软件

什么是Ryuk勒索病毒？

在2018年秋季，发现了爱马仕勒索软件的修改版本：Ryuk。Hermes和Ryuk都有相似的特征。它们识别和加密网络设备，以及删除存储在端点上的卷影副本。唯一的区别是它们如何创建加密密钥。Hermes使用RSA和私钥对，而Ryuk使用第二个RSA公钥。

Ryuk勒索软件比其前身更赚钱。它针对最终支付大量款项的大型组织和政府机构。事实是，没有大的回报，处理Ryuk攻击是不可持续的。它涉及高度的手动流程（直接利用，通过电子邮件处理的付款请求等），并且如果ROI不好，攻击者就不想浪费时间。Ryuk勒索软件不是感染周期的开始，而是结束。它是勒索软件，是逐步形成的，一旦出现，它是致命的。

Ryuk勒索病毒是如何传播感染的？

Ryuk勒索软件背后的网络犯罪分子采用了多阶段计划，以确保该恶意软件渗透到其目标中。通常，活动从网络钓鱼电子邮件开始，或者单击欺骗性链接，或者通过远程桌面服务开始。当毫无戒心的用户无意中执行了嵌入式恶意宏时，将自动下载Emotet机器人并感染计算机。

一旦Emotet僵尸程序侵入计算机，它就会下载并安装第二个恶意软件Trickbot（判定为Trojan.Win32.Trickster）到受感染的系统中。该Trickbot使网络罪犯能够全面了解网络并执行广泛的资产映射和识别。这些犯罪分子现在可以确定目标是否值得（例如，大型市政网络或知名企业），如果是，他们将通过对本地和本地加密，部署Ryuk勒索软件以感染尽可能多的端点和服务器。受损网络的驱动器和网络共享文件夹及其备份。

加密文件将获得附加扩展名（.RYK）， 勒索软件专家称，Ryuk通常要求通过比特币加密货币付款，赎金通常在15-50比特币之间，约为100,000-500,000美元，这是平均要价的十倍。

Ryuk的目标备份和使用反恢复工具的能力比其他类型的勒索软件更为复杂，这就是为什么除非备份已离线存储，否则目标通常无法恢复。

如何保护自己免受Ryuk勒索病毒感染？

保护企业免受Ryuk勒索软件攻击，建议采取的措施：

部署解决方案：事实证明，基于内容撤防和重建（CDR）的技术在消除外部恶意威胁的同时保持原始文件的完整性和功能非常有效。这项技术适用于进入组织的所有文件和电子邮件文件，无论是附件，从Web上下载还是从面向客户的门户网站上载。

对用户进行身份验证：为所有用户使用密码管理系统和单点登录服务。仅允许将映射的驱动器访问为特定角色。确定哪种认证过程最适合企业。

最大限度地减少攻击面：确保所有软件都是最新的，并且已在所有端点上进行了适当的修补。

自动扫描：实施一种解决方案，可以主动连续扫描网络中的恶意软件，并采取措施在任何重大损害发生之前进行修复。

备份数据：在云中备份您的关键数据。考虑使用第三方存储系统来维护主要企业网络之外的关键统计信息。

中了.Ryuk文件后缀的勒索病毒文件怎么恢复？

1.如果文件不急需，可以先备份等黑客被抓或良心发现，自行发布解密工具

2.如果文件急需，可以添加服务号（shujuxf），发送文件样本进行免费咨询数据恢复方案，或者寻求其它第三方解密服务。

预防勒索病毒-日常防护建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

1．多台机器，不要使用相同的账号和口令，以免出现“一台沦陷，全网瘫痪”的惨状；

2．登录口令要有足够的长度和复杂性，并定期更换登录口令；

3．严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。

4．及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。

5．关闭非必要的服务和端口如135、139、445、3389等高危端口。

6．备份备份备份！！！重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的文件建议选择多种方式来备份；

7．提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件，在点击或运行前进行安全扫描，尽量从安全可信的渠道下载和安装软件；

8．安装专业的安全防护软件并确保安全监控正常开启并运行，及时对安全软件进行更新

的所有信息

来源：数据恢复研究