信息來(lái)源:4hou
Ryuk勒索軟件名聲在外�����,這幾年收獲了上億的勒索收入��。Ryuk勒索軟件通過(guò)現(xiàn)有的惡意軟件感染目標(biāo)網(wǎng)絡(luò)���,使用RSA和AES結(jié)合的方式進(jìn)行加密�����。Ryuk已經(jīng)非常成功了�,但并不意味著其創(chuàng)建者停止發(fā)展和改進(jìn)它了�����。在過(guò)去這些年�,我們看到Ryuk勒索軟件在不斷的加入新的特征。
其中一個(gè)特征就是其加密文件的能力���。如果Ryuk勒索軟件遇到一個(gè)大于54.4Mb(57000000字節(jié))的文件�����,就只加密文件的特定部分以節(jié)省時(shí)間�,并且在研究人員和用戶注意到之前盡可能快的加密文件。
Ryuk用來(lái)確定文件大小是否超過(guò)57000000字節(jié)的代碼
部分加密的文件與正常加密的文件在footer部分會(huì)有所不同��,其中Hermes保存用于加密文件內(nèi)容的RSA加密的AES公鑰���。除了Ryuk使用的HERMES文件標(biāo)記外���,還可以看到文件中有多少個(gè)100萬(wàn)字節(jié)的塊被加密了。如果該標(biāo)記沒(méi)有了�,就表示整個(gè)文件會(huì)被加密。
Ryuk文件footer部分加密文件的塊的數(shù)量
在最新的Ryuk版本中����,計(jì)算footer長(zhǎng)度的方式發(fā)生了變化。因此��,Ryuk開(kāi)發(fā)人員提供的解密器會(huì)截短文件��,在解密文件過(guò)程中會(huì)刪掉有些字節(jié)�。根據(jù)具體文件類型的不同,這可能會(huì)引發(fā)一些問(wèn)題��。最好的情況是被刪掉的字節(jié)并不會(huì)被有漏洞的解密器使用�����,這樣就不會(huì)影響文件的解密����。但對(duì)于VHD/VHDX這樣的虛擬硬盤(pán)文件和在最后一個(gè)字節(jié)保存重要信息的Oracle數(shù)據(jù)庫(kù)文件來(lái)說(shuō),刪掉的字節(jié)可能會(huì)導(dǎo)致文件在解密后無(wú)法正常加載�����。
