Ryuk勒索软件在过去两周袭击了全球多个组织。Ryuk技术能力相对较低,但目前全球至少有三家公司受到该活动的严重打击,受感染公司已被加密了的数百台PC,存储和数据中心。一些组织支付了大金额赎金以便检索他们的文件,攻击者目前已经获得了超过640,000美元的赎金。研究人员分析发现,Ryuk与HERMES有很多相似之处,包括加密单个文件的功能,加密文件使用的文件标记,文件标记的检查,白名单相似的文件夹,同一路径中编写window.bat的批处理脚本,使用类似的脚本来删除影子卷和备份文件,文件丢弃到磁盘上在名称和目的上类似。这说明攻击者与朝鲜有关,但也可能是获得HERMES源代码。Ryuk专门用于定制攻击,加密方案设计为小规模的操作,只有关键的资产和资源在每个目标网络中被感染,并且由攻击者手动执行。赎金票据有一高一低的两个支付金额范围的版本,这说明攻击者有不同级别的攻击。Ryuk采用AES-RSA进行加密,目前Ryuk无法解密。
建议广大计算机用户加强安全防范意识,做好日常备份(最好是异地备份),不要访问包含未知风险的网站或打开不明来历的电子邮件附件,保持开启杀毒软件实时监控功能,并持续关注我中心网站上关于勒索软件的有关资讯。