Ryuk勒索软件的事实和保护

勒索软件是一种恶意软件，它要么阻止访问现有文件，要么完全阻止访问计算机，直到支付赎金. 它是如此普遍，以至于每10秒钟就有个人受到勒索软件的攻击, 每40秒就有企业被感染. 技术专业人士害怕被勒索软件攻击一次, 但重复袭击正变得越来越普遍.

与2017年的“想哭”(WannaCry)网络攻击相比，美国联邦调查局(FBI)表示，多达100名美国人被黑客攻击.S. 在过去的14个月里，网络犯罪分子用一种名为Ryuk的特定勒索软件变种有计划地将其作为攻击目标，国际企业也受到了感染. 英国国家网络安全中心总结了这一威胁，建议“Ryuk勒索软件通常在最初感染后一段时间才会被观察到, 从几天到几个月不等, 这让攻击者有时间在受感染的网络内部进行侦察, 识别和瞄准关键网络系统，从而最大化攻击的影响.”

与其他勒索软件变种一样，Ryuk通常通过网络钓鱼电子邮件开始初始交付. 然而, 这种攻击通常不是勒索软件本身, 但通常会传递一个滴管或木马，可以用来获得对环境的初始访问权限.g.， Trickbot或Emotet). 攻击者使用这种访问来确定如何最好地最终执行攻击，甚至关闭旨在防御攻击的保护. 目标是确保勒索病毒感染的成功, 从而创造了获得高额赎金的机会.

Ryuk感染的不同之处在于，恶意软件通常通过威胁行为者使用对目标网络和资源的交互式远程访问在整个环境中传播. 在本质上, 攻击者使用木马访问您的环境并获得立足点, 四处搜寻，关闭你的保护措施, 然后在他们认为最成功的时候放弃并执行勒索软件.

即使被发现，Ryuk也很难去除. 受害者不仅要从所有系统中删除恶意软件，还要删除最初提供访问权限的木马. 如果勒索软件被移除，而木马没有被移除，攻击者就可以继续加密机器, 这会让受害者陷入无休止的再感染循环.

施耐德唐斯网络安全团队有处理Ryuk的经验 数字取证和事件响应 (DFIR)bet9平台游戏, 并确定勒索软件背后的威胁行为者在攻击中专门针对企业环境. 我们的取证分析表明，恶意行为者通常专注于特定类型的组织，并在最终执行勒索软件之前对目标进行一段时间的侦察. 从我们所经历的, 然后，威胁行为者使用这种侦察来确定组织支付勒索软件的能力, 通常是成千上万的, 在某些情况下, 数百万美元.

那么，防范Ryuk和其他类型勒索软件的好方法是什么呢? 员工培训是关键的第一步, 因为你自己的人通常可以成为一个强大的防线，在发现一个网络钓鱼电子邮件，意味着提供最初的打击. 先进的电子邮件保护工具，如 Mimecast® 也应审查，以防止特洛伊木马的初始交付.

为了检测是否发生了感染，先进的反恶意软件工具 炭黑 应该被考虑. 大多数防病毒产品都是基于与过去识别的恶意软件相关联的某些签名来阻止恶意软件的. But Ryuk is different; it continuously adapts 和 disguises itself, 所以基于签名的方法不能处理像Ryuk这样的病毒，因为它通常是独特的，从未见过的签名. 这就是为什么先进的防病毒工具着眼于 行为 文件和程序, 以确定他们是否试图执行加密等潜在的恶意活动. 下一代防病毒工具在发现用于传递和传播恶意软件的技术以及执行以关闭保护的命令方面也很有效. 在本质上, 这些工具应该在勒索软件有机会执行之前很久就能发挥作用并消除威胁.

另外, 确保您的组织有一个可靠和安全的策略来备份关键系统和数据是至关重要的. 仅举几个强控制的例子, 我们建议通过强加密保护备份, 备份bet9平台游戏器/挂载驱动器等的多因素身份验证.，以及备份设备和bet9平台游戏器的完整分段.

施耐德倒下有何帮助?

施耐德唐斯网络安全实践由多个技术领域的专家组成. 我们是这两种产品的授权经销商 Mimecast® 和 炭黑 并提供全面的 数字取证和事件响应 bet9平台游戏. 欲了解更多信息，请访问 cthk.ngskmc-eis.net/cybersecurity 或透过电邮联络我们 (电子邮件保护).