什麼是 Ryuk 勒索軟件？

Ryuk 勒索軟件是一種惡意軟件，黑客瞄準高價值目標來感染系統並加密文件，直至支付贖金。 Ryuk 勒索軟件攻擊以電影《死亡筆記》中的著名漫畫人物命名，已襲擊企業、政府以及醫院和學校等公共機構。

與所有勒索軟件一樣，Ryuk 勒索軟件可能會產生毀滅性影響，特別是對於擁有關鍵數字資產的目標實體——依靠電子文件提供準確藥物的醫院，或遠程控制供水設施的公用事業工廠。

最近，網絡犯罪分子加倍進行無情的攻擊，而脆弱人群也不能排除 Ryuk 攻擊的威脅。目前尚不清楚 Ryuk 勒索軟件的幕後黑手是誰，但大多數消息來源都指向 Wizard Spider，這是一個主要位於俄羅斯的地下網絡犯罪網絡。

Ryuk 勒索軟件的歷史是什麼？

Ryuk 勒索軟件首次出現於 2018 年 8 月，當時它加密了全球數百個小城市、物流企業和科技公司的文件。雖然這是 Ryuk 病毒首次以 Ryuk 勒索軟件名稱公開出現，但網絡安全專家已將代碼結構與 2017 年發現的 Hermes 勒索軟件病毒聯繫起來。

更多閱讀：Mallox 勒索軟件：如何刪除和預防

2021 年，Ryuk 勒索軟件出現了令人擔憂的轉變，出現了一種具有計算機蠕蟲等功能的新變種，無需人工代理即可在計算機和系統之間傳播。這使得攻擊鏈更快，並使黑客更容易造成系統範圍的破壞。

Ryuk是如何出現以及如何傳播的？

Ryuk 勒索軟件攻擊通常從網絡釣魚電子郵件開始。由於 Ryuk 攻擊者尋求巨額回報，他們經常針對能夠訪問企業級軟件或系統的人員部署魚叉式網絡釣魚活動。

黑客首先調查高價值目標，以確定攻擊是否值得。他們通過向受害者發送看似無害且附加惡意鏈接的電子郵件進行攻擊。該附件可能看起來像普通的 Word 文檔，但打開時會釋放一種特洛伊木馬惡意軟件（如 Trickbot 或 Emotet）。

最初的惡意軟件實際上並不是勒索軟件。它可以讓攻擊者接管對您的計算機的命令和控制，以便稍後可以部署其勒索軟件有效負載。與此同時，Ryuk 在網絡內橫向傳播，感染了越來越多的受害者。

Ryuk 黑客深入系統，秘密收集管理員憑據並識別域控制器。這使得最終的 Ryuk 勒索軟件攻擊能夠影響盡可能廣泛的範圍，從而確保勒索軟件有效負載最終釋放時有最大的攻擊面。

Ryuk 勒索軟件會對計算機的文件、數據和系統訪問進行加密，使其無法檢索信息或訪問程序。它還破壞了 Windows 系統還原選項，迫使受害者在丟失數據或支付贖金之間做出選擇。這次攻擊如此突然且具有破壞性，以至於許多人選擇付費，從而導致了近年來最嚴重的勒索軟件攻擊。

作為一種人為操作的攻擊，Ryuk 背後的黑客使用手動黑客技術來獲取訪問權限並在網絡上傳播。在 2018 年、2019 年和 2020 年觀察到了這種攻擊鏈模式。

最近的攻擊表明，Ryuk 勒索軟件已經進化，現在可以在沒有人類交互的情況下傳播，就像一種更典型的蠕蟲病毒而不是計算機病毒。儘管如此，最初的數據洩露還是源於網絡釣魚、垃圾郵件和欺騙等經典的社會工程策略。

Ryuk 勒索軟件攻擊通常從可以安裝木馬或其他惡意軟件的網絡釣魚電子郵件開始。當足夠多的計算機受到感染時，勒索軟件就會在系統範圍內發布。

要了解有關其他勒索軟件的更多信息，請查看我們的 Locky、Petya、Cerber 和 Wannacry 指南。

Ryuk 勒索軟件攻擊示例

Ryuk 勒索軟件攻擊遵循類似的模式。大型公共或私人實體成為目標，並以類似突襲的方式受到打擊。 Ryuk 攻擊針對美國、英國、德國、西班牙、法國和澳大利亞的目標。

2021 年初，對已知 Ryuk 地址的比特幣交易分析顯示，Ryuk 黑客已詐騙超過 1.5 億美元的贖金。最著名的 Ryuk 勒索軟件攻擊襲擊了市政當局、學校系統、技術和能源公司以及醫院。

• 2018 年 12 月：使用 Tribune Publishing 軟件的美國媒體受到攻擊，包括《洛杉磯時報》、《華爾街日報》和《紐約時報》的西海岸版。這些攻擊顯然旨在禁用基礎設施，而不是竊取數據。

• 2019 年 3 月：佐治亞州傑克遜縣的整個市政網絡全部關閉，幸運的是，緊急服務除外。在諮詢網絡安全專家後，當地官員決定支付協商好的 40 萬美元贖金。

• 2019 年 6 月：佛羅里達州的兩個城市，里維埃拉海灘和萊克城，相隔數周遭到 Ryuk 勒索軟件攻擊。這些攻擊影響了緊急服務、水泵站和管理系統。兩個城市都選擇支付贖金來恢復服務（分別為 60 萬美元和 46 萬美元）。

• 2019 年 7 月：印第安納州拉波特縣是 2019 年夏天遭受 Ryuk 勒索軟件攻擊的另一個城市。該組織支付了 13 萬美元才能讓系統再次正常運行。

• 2019 年 7 月：馬薩諸塞州新貝德福德的 IT 系統被勒索贖金，金額史無前例的 530 萬美元。該市向黑客提供了 40 萬美元，但遭到拒絕，因此該市決定嘗試自行恢復數據。

• 2019 年 12 月：700 多個西班牙政府機構同時遭到 Ryuk 勒索軟件攻擊，導致數十萬公民預約和國家公共就業服務門戶網站訪問中斷。

• 2020 年 1 月：美國國防部知名電子產品供應商 Electronic Warfare Associates (EWA) 遭受 Ryuk 勒索軟件攻擊。該公司試圖對數據洩露事件保密，但當有人在該公司緩存的谷歌搜索結果中發現加密文件和勒索信息時，事件就爆發了。

• 2020 年 3 月：法律服務公司 Epiq Global 發現全球 80 個辦事處遭到 Ryuk 攻擊，導致客戶無法訪問重要法律文件。該公司不願透露是否支付了贖金。

• 2020 年 9 月：美國最大的私人醫療服務提供商之一全民健康服務 (UHS) 管理的 250 多個醫療機構遭到攻擊，迫使患者被轉移到其他急診室，並延遲了檢測結果和預約。據報導，從這次襲擊中恢復過來，UHS 花費了 6700 萬美元。

• 2020 年 11 月：當服務超過 100 萬學生的在線教育平台 K12 Inc. 遭到攻擊時，Ryuk 黑客獲取了大量個人數據，並威脅要洩露這些數據。 K12 證實支付了一筆未具體說明的贖金，以保護學生的隱私。

• 2020 年 11 月：巴爾的摩縣公立學校系統為超過 115,000 名學生提供服務，預算為 15 億美元，在感恩節前幾天遭到 Ryuk 勒索軟件攻擊，導致其遠程教育服務嚴重中斷。儘管沒有支付贖金，但據報導，學校系統損失了近 1000 萬美元。這次 Ryuk 勒索軟件 2020 攻擊凸顯了在不首先正確保護易受攻擊的系統的情況下進行數字化的風險。

• 2021 年 5 月：當挪威能源科技公司 Volue 遭到 Ryuk 攻擊時，其位於 200 多個挪威城市的供水和污水處理設施的系統基礎設施受到影響。這次襲擊影響了該國近 85% 的人口。

• 2021 年 6 月：比利時第三大城市列日的 IT 網絡和服務遭受 Ryuk 勒索軟件攻擊。它擾亂了與身份證、護照以及婚姻、出生和居留許可預約相關的行政服務。

如何保護自己免受 Ryuk 侵害？

與大多數勒索軟件一樣，Ryuk 通常通過不良的 IT 實踐獲得訪問權限，例如員工培訓不足、密碼薄弱、缺乏有效的防火牆或其他缺失的安全基礎設施。

解決這些問題、實施備份、設置權限級別訪問以及安裝服務器安全是防止勒索軟件攻擊的最佳步驟。

不應低估防禦 Ryuk 勒索軟件和其他惡意軟件菌株的教育。只需要一個失誤——點擊惡意鏈接或打開受感染的文檔——就會導致整個系統癱瘓。

人為錯誤是不可避免的，但良好的數字衛生和勒索軟件防護工具可以在勒索軟件加密您的文件並禁用關鍵系統之前阻止勒索軟件。 Avast One 具有強大的反勒索軟件軟件，並由全球最大的威脅檢測網絡提供支持。

如何刪除 Ryuk？

可以從您的 PC 中刪除勒索軟件，也可以從您的 Mac 中刪除勒索軟件。無論設備如何，第一步都是隔離受感染的設備。斷開您的設備，包括所有網絡驅動器、外部硬盤驅動器、雲存儲帳戶等。然後運行防病毒掃描以識別並刪除惡意軟件。

使用 Avast Antivirus 保護自己免受勒索軟件侵害

勒索軟件攻擊的後果是痛苦的。但通過遵循 IT 最佳實踐並使用強大的勒索軟件防護軟件，您可以大大減少威脅。

Avast One 使用頂級的機器學習惡意軟件防護，並且每天都在變得更好。我們的網絡安全專家團隊不斷監控勒索軟件威脅情況，並相應地更新我們的威脅檢測網絡。 Avast 受到超過 4 億用戶的信任，可阻止勒索軟件的蔓延。