什么是RYUK勒索软件？

美国卫生与公众服务部的一份咨询报告指出，涉及RYUK的攻击似乎是目标。事实上，它的加密方案是为小规模操作而有意构建的，因此攻击者通过手动分发，在每个目标网络中只会感染关键资产和资源。

减少攻击面。检查您网络上的入站RDP连接

搜索引擎（如Shodan）允许网络罪犯找到远程桌面协议（简称RDP）打开的网络。然后可以使用NLBrute之类的工具来尝试一系列RDP密码。确保您经常检查您网络上的入站流量是否存在任何可疑活动。

通过"鱼叉"式网络钓鱼电子邮件或暴露在互联网上、安全性差的RDP连接，一次选择一家目标公司。RDP允许远程使用，即使是无法通过命令提示符编写脚本或操作的完全图形化应用程序。

RYUK使用AES-RSA组合加密，通常不可加密，除非RYUK团队在实现中出错。RYUK使用的加密方法或多或少与Hermes恶意软件的加密方法相同。

Hermes勒索软件的早期版本一直是一个断断续续的威胁，在大规模垃圾邮件活动中随机出现。新的RYUK勒索软件毒株似乎是Lazarus集团的一项新尝试，为什么ddos无法防御，旨在开发一种类似SamSam的毒株，用于对选定组织进行精确的外科手术打击

监控网络上的文件活动

在检测网络上的活动勒索软件（如RYUK）之前，您需要监控文件和文件夹活动。最简单的方法之一是监视进出网络文件服务器的网络流量。大多数受管交换机支持SPAN或镜像端口，这些端口允许您从文件服务器获取进出网络数据包的副本。

一旦您有了数据源，山石防火墙防御ddos，您就可以使用我们自己的LANGuardian之类的工具从网络数据包中提取文件和文件夹元数据。元数据包括文件名、操作和用户名等信息。

除了监控与文件服务器相关的流量外，我们还建议您监控网络周边（就在防火墙内）的所有流量。勒索软件需要与外界沟通，ddos为什么难以防御，因此，当涉及到RYUK勒索软件的检测和警报时，在网络边缘具有可见性是很重要的。

下面的图片显示了当涉及到RYUK勒索软件时，虚拟主机怎么防御ddos，您应该注意的一些事情。

1.注意文件重命名的增加。

当涉及到网络上的活动时，文件重命名不是常见的操作网络文件共享。在正常的一天中，即使您的网络上有数百个用户，您也可能只需要少量的重命名。当像RYUK这样的勒索软件攻击时，当您的数据被加密时，它将导致文件重命名的大量增加。

您可以使用此行为触发警报。如果重命名次数超过某个阈值，则可能存在勒索软件问题。我们建议您的警报基于每秒4次或更多的重命名。

2.注意网络上任何扩展名为.RYK的文件。

RYUK使用加密算法对数据进行加密，从而使存储在计算机上的文件不可用。它会将.RYK扩展名附加到每个加密文件，从而重命名所有受影响的文件。例如，"budget.xlsx"变为"budget.xlsx.RYK"。

使用LANGuardian的"按文件/文件夹名称搜索"报告筛选任何扩展名为.RYK的文件。

3.检查网络共享中的勒索笔记

当RYUK勒索软件对网络上的文件进行加密时，它将以文本文件的格式留下勒索笔记。"RyukReadMe.txt"中的赎金信息来自于RYUK的开发者，ddos防御能力对比，他们告诉受害者所有的数据都使用了强大的加密算法进行了加密。他们声明加密备份和卷影副本也已加密。

RYUK勒索软件开发商还声明，只有他们可以向受害者提供解密工具，没有其他工具能够解密。总之，他们明确表示，没有其他任何一方可以帮助RYUK感染的电脑。这些网络罪犯还警告用户，关闭或重新启动计算机可能会造成损坏或数据丢失。他们敦促人们不要删除或重命名"RyukReadMe.txt"文本文件。

RYUK开发者提供两个文件的免费解密，以证明解密是可能的，并试图给人一种可以信任的印象。要解密剩余的数据，用户必须与他们联系。但是，建议您在任何情况下都不要联系RYUK开发者

如果您对如何检测RYUK勒索软件或您网络上的其他变体有任何疑问，请使用LANGuardian的"按文件/文件夹名称搜索"报告来过滤任何名为RyukReadMe.txt的文件

，请随时与我们联系，并与我们的技术支持团队进行交流。