安全公司checkpoint称,Ryuk勒索软件在过去两周袭击了全球多个组织。Ryuk技术能力相对较低,但目前全球至少有三家公司受到该活动的严重打击,受感染公司已被加密了的数百台PC,存储和数据中心。一些组织支付了大金额赎金以便检索他们的文件,攻击者目前已经获得了超过640,000美元的赎金。研究人员分析发现,Ryuk与HERMES有很多相似之处,包括加密单个文件的功能,加密文件使用的文件标记,文件标记的检查,白名单相似的文件夹,同一路径中编写window.bat的批处理脚本,使用类似的脚本来删除影子卷和备份文件,文件丢弃到磁盘上在名称和目的上类似。这说明攻击者与朝鲜有关,但也可能是获得HERMES源代码。Ryuk专门用于定制攻击,加密方案设计为小规模的操作,只有关键的资产和资源在每个目标网络中被感染,并且由攻击者手动执行。赎金票据有一高一低的两个支付金额范围的版本,这说明攻击者有不同级别的攻击。Ryuk采用AES-RSA进行加密,目前Ryuk无法解密。
国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识,做好日常备份(最好是异地备份),不要访问包含未知风险的网站或打开不明来历的电子邮件附件,保持开启杀毒软件实时监控功能,并持续关注我中心网站上关于勒索软件的有关资讯。