自8月中旬以來,最近的 Ryuk 勒索軟體為其作者提供了一筆可觀的金額,並證明僅僅擁有AV和備份解決方案可能還不夠。
與臭名昭著的 APT Lazarus 集團和早期的 HERMES 勒索軟體變種相關聯,Ryuk 的比特幣錢包已累積超過64萬美元的比特幣,這表明他們的策略迄今為止已取得了多大的成功。我們測試的特定樣品就賺進了50.41 BTC(截至今日為316,265美元)。
我們發現特別有趣的是 Ryuk 試圖在勒索軟體啟動其加密程序之前就停止傳統的 AV 產品並刪除Windows VSS shadow 副本。 在默認情況下, Windows 最多可進行64次卷影複製備份,使用戶能夠在數據遺失或覆蓋的情況下在不同時間點從快照恢復數據。 然而,Ryuk 先刪除快照並調整存儲空間大小並將任何恢復機會為零:
除了確保內置備份不可用, Ryuk 還禁用了多個第三方備份服務,包括 Acronis , SQLSafe , VEEAM 和 Zoolz 。
Ryuk 還試圖阻止屬於某些傳統 AV 保護軟體的進程,其中包括 Sophos 和 Symantec System Recovery 進程。
從下面的 Demo 中可以看出,Sophos 特別受到關注,從 SentinelOne 管理控制台視圖顯示出:
Ryuk 的嘗試對 SentinelOne 是無效的,因為它有幾個檢測層和防篡改保護。
Demo
Take away
Anti-tampering – 在 default 情況下,SentinelOne agent 會保護其服務,進程,registry entries 等。它還可以保護所有 VSS 卷影副本,因此用戶可以快速 rollback 和恢復其文件。 Ryuk 的行為模式為 SentinelOne 這樣的安全解決方案的定義了基礎的重要性,它提供深度防禦並且不受篡改的影響。並且永遠不可能禁用或減弱可靠的端點保護。 Comments are closed.
|