信息來源：4hou

Ryuk勒索軟件名聲在外，這幾年收獲了上億的勒索收入。Ryuk勒索軟件通過現(xiàn)有的惡意軟件感染目標網(wǎng)絡(luò)，使用RSA和AES結(jié)合的方式進行加密。Ryuk已經(jīng)非常成功了，但并不意味著其創(chuàng)建者停止發(fā)展和改進它了。在過去這些年，我們看到Ryuk勒索軟件在不斷的加入新的特征。

其中一個特征就是其加密文件的能力。如果Ryuk勒索軟件遇到一個大于54.4Mb（57000000字節(jié)）的文件，就只加密文件的特定部分以節(jié)省時間，并且在研究人員和用戶注意到之前盡可能快的加密文件。

Ryuk用來確定文件大小是否超過57000000字節(jié)的代碼

部分加密的文件與正常加密的文件在footer部分會有所不同，其中Hermes保存用于加密文件內(nèi)容的RSA加密的AES公鑰。除了Ryuk使用的HERMES文件標記外，還可以看到文件中有多少個100萬字節(jié)的塊被加密了。如果該標記沒有了，就表示整個文件會被加密。

Ryuk文件footer部分加密文件的塊的數(shù)量

在最新的Ryuk版本中，計算footer長度的方式發(fā)生了變化。因此，Ryuk開發(fā)人員提供的解密器會截短文件，在解密文件過程中會刪掉有些字節(jié)。根據(jù)具體文件類型的不同，這可能會引發(fā)一些問題。最好的情況是被刪掉的字節(jié)并不會被有漏洞的解密器使用，這樣就不會影響文件的解密。但對于VHD/VHDX這樣的虛擬硬盤文件和在最后一個字節(jié)保存重要信息的Oracle數(shù)據(jù)庫文件來說，刪掉的字節(jié)可能會導致文件在解密后無法正常加載。