奇怪，勒索软件Ryuk 新版本把这些 *UNIX 文件夹列入了黑名单

Lawrence Abrams 代码卫士 2022-04-06

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

Ryuk勒索软件新版本已发布，不过有意避免加密在*UNIX 操作系统中常见的文件夹。

美国新奥尔良市遭感染后，Bleeping Computer 证实称，该市遭 Ryuk 勒索软件使用一个可执行文件 v2.exe感染。研究人员 Vitali Kremez 分析了 v2.exe 样本并发现了该勒索软件中一个有意思的变化，它不再加密和*NIX 操作系统相关的文件夹。

样本地址：
https://www.virustotal.com/gui/file/1b424c3edf0b2e241050345432731cd804b1e273fc3c470d660c66393891cccc/detection

被 Ryuk 勒索软件列入黑名单的 *NIX 文件夹包括：

乍一看，我们以为一款 Windows 恶意软件竟然在加密文件时有意避开 *NIX 文件夹很奇怪。更奇怪的是，Kremez 表示很多人都在询问自己这些操作系统中是否存在一个被当作数据的Ryuk 的 Unix变体在Ryuk 攻击中被加密。

虽然并不存在 Linux/Unix 版本的 Ryuk，但 Windows 10 确实包含一个名为 Windows Subsystem forLinux (WSL) 的功能，允许用户直接在Windows 中安装多种Linux 发行版本。这些安装程序使用了如上所列出的被列入黑名单的名称的文件夹。

随着 WSL 变得不断流行，Ryuk 行动者可能在某个时间点加密了一台 Windows 机器，但它也同时影响 WSL 使用的 *NIX 系统文件夹，这可能导致 WSL 无法运行。

Kremez表示，“他们肯定遇到了影响WSL 环境的案例，这可能导致他们将NIX 文件夹列入黑名单，就跟他们在Windows 机器上做的那样。我是第一次见这种情况，它可能解释了Ryuk 为什么以如何通过WSL 影响NIX 机器。”

由于多数成功的勒索软件的目标是解密受害者数据，而非影响操作系统的功能，因此这种变化是说得通的。

随着这么多文件夹被列入黑名单，Ryuk 可能还解决了另外一个令人头疼的问题：需要处理WSL 被损坏的付费客户的问题。

推荐阅读

突发：安全公司 Prosegur 因遭 Ryuk 勒索软件攻击被迫关网

原文链接

https://www.bleepingcomputer.com/news/security/ryuk-ransomware-stops-encrypting-linux-folders/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”，bounty 多多~