Ryuk勒索病毒最早于2018年8月被首次发现，它是由俄罗斯黑客团伙Grim Spider幕后操作运营，Grim Spider是一个网络犯罪集团，使用Ryuk勒索软件对大型企业及组织进行针对性攻击，C.R.A.M. TG Soft(反恶意软件研究中心)发现Ryuk勒索软件并没有通过malspam活动传播，而是通过网络攻击手段利用其他恶意软件如Emotet或TrickBot等银行木马进行传播，Emotet和TrickBot银行木马主要用于盗取受害者银行网站登录凭据，同时充当下载器功能，提供下载其它勒索病毒服务，为啥Emotet和TrickBot银行木马会传播Ryuk勒索病毒?在之前的文章中已经提到过了，因为TrickBot银行木马传播渠道的运营者是俄罗斯黑客团伙WIZARD SPIDER，GRIM SPIDER是俄罗斯黑客团伙WIZARD SPIDER的部门之一

在过去的几个月里，Ryuk因在美国和意大利的几次袭击而闻名，2019年6月11日“Bonfiglioli”公司遭到Ryuk恶意软件攻击，要求赎金高达2,400万欧元

Ryuk这款勒索病毒最近在国外非常流行，它的攻击目标主要是国外一些大型的企业，然后要求受害者支付巨额的赎金，以还原他们的数据和业务,Ryuk勒索病毒背后也一定有一支强大的黑客运营团队

C.R.A.M. TG Soft(反恶意软件研究中心)在过去的几个月时跟踪分析了这款勒索病毒的演变过程，相关的分析报告链接：

https://www.tgsoft.it/english/news_archivio_eng.asp?id=1010#

报告内容包含：恶意样本详细分析、文件加密算法、共享网络加密、勒索赎金信息以及勒索病毒防护措施等，如下所示：

报告中提供了Ryuk勒索病毒的MD5：

060374D93D83ED5218B63610739AB5A8，此勒索病毒样本已经被人上传到了app.any.run在线沙箱网站，如下所示：

此勒索病毒加密后缀为:RYK，如下所示：

在每个加密后的文件夹目录生成勒索超文本文件RyukReadMe.html，内容如下所示：

让受害者通过邮件与黑客联系解密，邮件地址：

chris-morris-1976@protonmail.com 

tasha-williams.91@protonmail.com

勒索病毒核心原理剖析

1.遍历进程，结束相关进程，如下所示：

相关的进程列表，如下所示：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课