Ryuk勒索软件变种具备自我传播能力

索软件的变种不包含任何阻止勒索软件执行的机制(类似使用互斥量检测)，使用 rep.exe 或 lan.exe 后缀进行复制传播。

Ryuk 勒索软件在本地网络上列举所有可能的 IP 地址并发送 ICMP ping 进行探测。该恶意软件会列出本地 ARP 表缓存的 IP 地址，列出发现 IP 地址所有的共享资源并对内容进行加密。该变种还能够远程创建计划任务以此在主机上执行。攻击者使用 Windows 原生工具 schtasks.exe 创建计划任务。

最近发现的 Ryuk 变种具备自我复制能力，可以将可执行文件复制到已发现的网络共享上实现样本传播。紧接着会在远程主机上创建计划任务，最后为了防止用户进行文件回复还会删除卷影副本。

其文件路径来实现持久化。

分析报告显示，Ryuk 勒索软件并不会检查计算机是否已被感染，恶意代码使用域内的高级帐户进行传播。安全专家指出，即使修改了用户密码，只要 Kerberos 票据尚未过期，蠕虫式的传播仍将继续。

解决问题方法是禁用用户账户，然后进行两次 KRBTGT 域密码更改。尽管这会在内部网络上带来很多麻烦，而且要伴随着多次重新启动，但这是值得的，可以立刻遏制恶意软件的传播和扩散。

（编辑：莆田站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!