2023 年 7月初，我们捕获到了一个未知 DDoS 僵尸网络病毒家族样本，该样本诸多基础函数从 Mirai 源码移植而来，但在主机行为、网络控制协议方面又做了很大改动。样本中的多个核心函数由 "ripper_" 开头，所以我们把这个家族命名为Ripper。

我们对其样本和 C&C 的关联分析，发现该家族已经传播了数月时间，只不过之前的样本与现在的样本变化比较大。经过梳理，我们暂时把 Ripper 家族的样本分为 3 个版本：V0、V1 和 最新的 V2。

Ripper 的传播机制借鉴自 Mirai：样本中内置 Telnet 弱口令扫描模块，扫描模块会把扫描结果上报给 Report Server，攻击者会根据上报的扫描结果，控制 Loader 向失陷主机植入 Ripper 的木马文件。最新的 Ripper V2 中，C&C 还会通过特定的指令动态更新样本扫描用到的弱口令字典。

已经捕获到 Ripper V2 发起的数十次攻击，其攻击目标包括数据货币交易所1million.exchange，时代华纳的 DNS 服务器74.74.74.74，以及英国独立报官网www.independent.co.uk。鉴于 Ripper 在样本层面的频繁变动持续升级，以及逐步开展 DDoS 攻击，我们会对 Ripper 家族的活动持续监控。