什么是 Ryuk 勒索软件？

Jacki

2025-12-02

Ryuk 勒索软件是一种恶意软件，黑客瞄准高价值目标来感染系统并加密文件，直至支付赎金。 Ryuk 勒索软件攻击以电影《死亡笔记》中的著名漫画人物命名，已袭击企业、政府以及医院和学校等公共机构。

与所有勒索软件一样，Ryuk 勒索软件可能会产生毁灭性影响，特别是对于拥有关键数字资产的目标实体——依靠电子文件提供准确药物的医院，或远程控制供水设施的公用事业工厂。

最近，网络犯罪分子加倍进行无情的攻击，而脆弱人群也不能排除 Ryuk 攻击的威胁。目前尚不清楚 Ryuk 勒索软件的幕后黑手是谁，但大多数消息来源都指向 Wizard Spider，这是一个主要位于俄罗斯的地下网络犯罪网络。

Ryuk 勒索软件的历史是什么？

Ryuk 勒索软件首次出现于 2018 年 8 月，当时它加密了全球数百个小城市、物流企业和科技公司的文件。虽然这是 Ryuk 病毒首次以 Ryuk 勒索软件名称公开出现，但网络安全专家已将代码结构与 2017 年发现的 Hermes 勒索软件病毒联系起来。

更多阅读：Mallox 勒索软件：如何删除和预防

2021 年，Ryuk 勒索软件出现了令人担忧的转变，出现了一种具有计算机蠕虫等功能的新变种，无需人工代理即可在计算机和系统之间传播。这使得攻击链更快，并使黑客更容易造成系统范围的破坏。

Ryuk是如何出现以及如何传播的？

Ryuk 勒索软件攻击通常从网络钓鱼电子邮件开始。由于 Ryuk 攻击者寻求巨额回报，他们经常针对能够访问企业级软件或系统的人员部署鱼叉式网络钓鱼活动。

黑客首先调查高价值目标，以确定攻击是否值得。他们通过向受害者发送看似无害且附加恶意链接的电子邮件进行攻击。该附件可能看起来像普通的 Word 文档，但打开时会释放一种特洛伊木马恶意软件（如 Trickbot 或 Emotet）。

最初的恶意软件实际上并不是勒索软件。它可以让攻击者接管对您的计算机的命令和控制，以便稍后可以部署其勒索软件有效负载。与此同时，Ryuk 在网络内横向传播，感染了越来越多的受害者。

Ryuk 黑客深入系统，秘密收集管理员凭据并识别域控制器。这使得最终的 Ryuk 勒索软件攻击能够影响尽可能广泛的范围，从而确保勒索软件有效负载最终释放时有最大的攻击面。

Ryuk 勒索软件会对计算机的文件、数据和系统访问进行加密，使其无法检索信息或访问程序。它还破坏了 Windows 系统还原选项，迫使受害者在丢失数据或支付赎金之间做出选择。这次攻击如此突然且具有破坏性，以至于许多人选择付费，从而导致了近年来最严重的勒索软件攻击。

作为一种人为操作的攻击，Ryuk 背后的黑客使用手动黑客技术来获取访问权限并在网络上传播。在 2018 年、2019 年和 2020 年观察到了这种攻击链模式。

最近的攻击表明，Ryuk 勒索软件已经进化，现在可以在没有人类交互的情况下传播，就像一种更典型的蠕虫病毒而不是计算机病毒。尽管如此，最初的数据泄露还是源于网络钓鱼、垃圾邮件和欺骗等经典的社会工程策略。

Ryuk 勒索软件攻击通常从可以安装木马或其他恶意软件的网络钓鱼电子邮件开始。当足够多的计算机受到感染时，勒索软件就会在系统范围内发布。

要了解有关其他勒索软件的更多信息，请查看我们的 Locky、Petya、Cerber 和 Wannacry 指南。

Ryuk 勒索软件攻击示例

Ryuk 勒索软件攻击遵循类似的模式。大型公共或私人实体成为目标，并以类似突袭的方式受到打击。 Ryuk 攻击针对美国、英国、德国、西班牙、法国和澳大利亚的目标。

2021 年初，对已知 Ryuk 地址的比特币交易分析显示，Ryuk 黑客已诈骗超过 1.5 亿美元的赎金。最著名的 Ryuk 勒索软件攻击袭击了市政当局、学校系统、技术和能源公司以及医院。

2018 年 12 月：使用 Tribune Publishing 软件的美国媒体受到攻击，包括《洛杉矶时报》、《华尔街日报》和《纽约时报》的西海岸版。这些攻击显然旨在禁用基础设施，而不是窃取数据。
2019 年 3 月：佐治亚州杰克逊县的整个市政网络全部关闭，幸运的是，紧急服务除外。在咨询网络安全专家后，当地官员决定支付协商好的 40 万美元赎金。
2019 年 6 月：佛罗里达州的两个城市，里维埃拉海滩和莱克城，相隔数周遭到 Ryuk 勒索软件攻击。这些攻击影响了紧急服务、水泵站和管理系统。两个城市都选择支付赎金来恢复服务（分别为 60 万美元和 46 万美元）。
2019 年 7 月：印第安纳州拉波特县是 2019 年夏天遭受 Ryuk 勒索软件攻击的另一个城市。该组织支付了 13 万美元才能让系统再次正常运行。
2019 年 7 月：马萨诸塞州新贝德福德的 IT 系统被勒索赎金，金额史无前例的 530 万美元。该市向黑客提供了 40 万美元，但遭到拒绝，因此该市决定尝试自行恢复数据。
2019 年 12 月：700 多个西班牙政府机构同时遭到 Ryuk 勒索软件攻击，导致数十万公民预约和国家公共就业服务门户网站访问中断。
2020 年 1 月：美国国防部知名电子产品供应商 Electronic Warfare Associates (EWA) 遭受 Ryuk 勒索软件攻击。该公司试图对数据泄露事件保密，但当有人在该公司缓存的谷歌搜索结果中发现加密文件和勒索信息时，事件就爆发了。
2020 年 3 月：法律服务公司 Epiq Global 发现全球 80 个办事处遭到 Ryuk 攻击，导致客户无法访问重要法律文件。该公司不愿透露是否支付了赎金。
2020 年 9 月：美国最大的私人医疗服务提供商之一全民健康服务 (UHS) 管理的 250 多个医疗机构遭到攻击，迫使患者被转移到其他急诊室，并延迟了检测结果和预约。据报道，从这次袭击中恢复过来，UHS 花费了 6700 万美元。
2020 年 11 月：当服务超过 100 万学生的在线教育平台 K12 Inc. 遭到攻击时，Ryuk 黑客获取了大量个人数据，并威胁要泄露这些数据。 K12 证实支付了一笔未具体说明的赎金，以保护学生的隐私。
2020 年 11 月：巴尔的摩县公立学校系统为超过 115,000 名学生提供服务，预算为 15 亿美元，在感恩节前几天遭到 Ryuk 勒索软件攻击，导致其远程教育服务严重中断。尽管没有支付赎金，但据报道，学校系统损失了近 1000 万美元。这次 Ryuk 勒索软件 2020 攻击凸显了在不首先正确保护易受攻击的系统的情况下进行数字化的风险。
2021 年 5 月：当挪威能源科技公司 Volue 遭到 Ryuk 攻击时，其位于 200 多个挪威城市的供水和污水处理设施的系统基础设施受到影响。这次袭击影响了该国近 85% 的人口。
2021 年 6 月：比利时第三大城市列日的 IT 网络和服务遭受 Ryuk 勒索软件攻击。它扰乱了与身份证、护照以及婚姻、出生和居留许可预约相关的行政服务。