HOW RYUK RANSOMWARE TARGETS AV SOLUTIONS, NOT JUST YOUR FILES

自8月中旬以來，最近的 Ryuk 勒索軟體為其作者提供了一筆可觀的金額，並證明僅僅擁有AV和備份解決方案可能還不夠。

與臭名昭著的 APT Lazarus 集團和早期的 HERMES 勒索軟體變種相關聯，Ryuk 的比特幣錢包已累積超過64萬美元的比特幣，這表明他們的策略迄今為止已取得了多大的成功。我們測試的特定樣品就賺進了50.41 BTC（截至今日為316,265美元）。

我們發現特別有趣的是 Ryuk 試圖在勒索軟體啟動其加密程序之前就停止傳統的 AV 產品並刪除Windows VSS shadow 副本。

在默認情況下， Windows 最多可進行64次卷影複製備份，使用戶能夠在數據遺失或覆蓋的情況下在不同時間點從快照恢復數據。

然而，Ryuk 先刪除快照並調整存儲空間大小並將任何恢復機會為零：

除了確保內置備份不可用， Ryuk 還禁用了多個第三方備份服務，包括 Acronis ， SQLSafe ， VEEAM 和 Zoolz 。

Ryuk 還試圖阻止屬於某些傳統 AV 保護軟體的進程，其中包括 Sophos 和 Symantec System Recovery 進程。

從下面的 Demo 中可以看出，Sophos 特別受到關注，從 SentinelOne 管理控制台視圖顯示出：

Ryuk 的嘗試對 SentinelOne 是無效的，因為它有幾個檢測層和防篡改保護。

• Pre-execution - 如以下 demo 所顯示，一旦將惡意軟體被複製到桌面，就會檢測到它。在現實生活中，當威脅被隔離時會發生這種情況，確保用戶永遠不會有機會執行它。
• On execution - 這裡就是行為 AI ，behavioral I 發揮作用的地方。如 demo 中所示，Ryuk 範例正在使用 bat 文件生成多個進程以完成其操作。行為 AI 能夠連接所有點並建立我們稱之為“ group ”的東西。​
• 這引導到第三層並顯示出我們不同的地方，即深度可見性 Deep Visibility。該組包含所有文件，進程，registry（在本範例中為建立的 registry auto run key）以及與此惡意軟體相關的其他 IOC。即使設備設置為僅檢測時，SOC 分析師也能夠執行威脅搜索操作，該操作將顯示與此威脅相關的所有項目，如下例所示：

​Demo

​Take away
Anti-tampering – 在 default 情況下，SentinelOne agent 會保護其服務，進程，registry entries 等。它還可以保護所有 VSS 卷影副本，因此用戶可以快速 rollback 和恢復其文件。

Ryuk 的行為模式為 SentinelOne 這樣的安全解決方案的定義了基礎的重要性，它提供深度防禦並且不受篡改的影響。並且永遠不可能禁用或減弱可靠的端點保護。

原文