信息来源：4hou

Ryuk勒索软件名声在外，这几年收获了上亿的勒索收入。Ryuk勒索软件通过现有的恶意软件感染目标网络，使用RSA和AES结合的方式进行加密。Ryuk已经非常成功了，但并不意味着其创建者停止发展和改进它了。在过去这些年，我们看到Ryuk勒索软件在不断的加入新的特征。

其中一个特征就是其加密文件的能力。如果Ryuk勒索软件遇到一个大于54.4Mb（57000000字节）的文件，就只加密文件的特定部分以节省时间，并且在研究人员和用户注意到之前尽可能快的加密文件。

Ryuk用来确定文件大小是否超过57000000字节的代码

部分加密的文件与正常加密的文件在footer部分会有所不同，其中Hermes保存用于加密文件内容的RSA加密的AES公钥。除了Ryuk使用的HERMES文件标记外，还可以看到文件中有多少个100万字节的块被加密了。如果该标记没有了，就表示整个文件会被加密。

Ryuk文件footer部分加密文件的块的数量

在最新的Ryuk版本中，计算footer长度的方式发生了变化。因此，Ryuk开发人员提供的解密器会截短文件，在解密文件过程中会删掉有些字节。根据具体文件类型的不同，这可能会引发一些问题。最好的情况是被删掉的字节并不会被有漏洞的解密器使用，这样就不会影响文件的解密。但对于VHD/VHDX这样的虚拟硬盘文件和在最后一个字节保存重要信息的Oracle数据库文件来说，删掉的字节可能会导致文件在解密后无法正常加载。