Sodinokibi勒索病毒在国内首次被发现于2019年4月份,2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,在短短几个月的时间内,已经在全球大范围传播,近日此勒索病毒最新的变种,采用进程注入的方式,将勒索病毒核心代码注入到正常进程中执行勒索加密文件操作
今年六月一号,在GandCrab勒索病毒运营团队停止更新之后,就马上接管了之前GandCrab的传播渠道,经过近半年的发展,这款勒索病毒此前使用了多种传播渠道进行传播扩散,如下所示:
OracleWeblogic Server漏洞
FlashUAF漏洞
RDP攻击
垃圾邮件
水坑攻击
漏洞利用工具包和恶意广告下载(RIG Exploit Kit等)
前两天笔者生病休息了两三天,今天稍微有点好转,最近两天内有好几个朋友咨询Sodinokibi勒索病毒相关问题,是不是又有新的变种出现了?事实上笔者在11月27号的时候就曾捕获到了一批新的Sodinokibi勒索病毒的最新变种,这批Sodinokibi勒索病毒与此前捕获到的Sodinokibi勒索病毒不同,都是DLL文件,不是EXE程序,预感未来几天可能这款勒索病毒会使用进程注入的方式加载这批DLL进行传播感染,这批DLL应该就是勒索病毒团伙新生成的一批勒索病毒核心Payload,用于注入进程使用的
周日,笔者又发现在论坛上有人上传了一个Sodinokibi勒索病毒的最新的样本,如下所示:
上面显示勒索的金额,一台主机最高达4万美金,如下所示:
此样本被人同时在29号的不同时间段上传到了在线分析网站上,猜测这款新的变种可能是29号左右开始传播的,如下所示:
通过关联,发现此勒索病毒关联到一个服务器IP地址:45.141.84.22,通过微步在线进行查询,如下所示:
服务器IP地址位于:俄罗斯
此勒索病毒运行之后会启动一个正常进程,笔者主机上启动是vbc.exe进程,如下所示:
启动之后,如下所示:
然后将勒索病毒核心代码注入到启动的vbc.exe进程中执行,如下所示:
将Sodinokibi勒索病毒的核心代码DUMP下来,如下所示:
加密之后的文件后缀名,如下所示:
会修改桌面背景图片,如下所示:
同时笔者在虚拟机中测试这款勒索病毒的时候有可能会触发蓝屏,可能是注入和结束进程的时候导致的,如下所示:
勒索提示信息文件,如下所示:
获取的样本pdb信息
D:\Coding\!avBTDF17с\bin\Debugrwenc_exe_x86_debug.pdb,猜测最新的版本主要还是为了免杀!av,将核心代码注入正常进程,这批新的变种应该最早是在20号左右编译,27开始传播,29号扩大传播
针对企业的勒索病毒攻击越来越多了,具有很强的针对性,攻击手法也是多种多样,旧的勒索病毒不断变种,新型的勒索病毒又不断出现,基本上每天都有勒索病毒的变种被发现,同时经常有不同的企业被勒索病毒攻击的新闻曝光,真的是数不甚数,随着BTC等虚拟货币的流行,未来勒索病毒的攻击会不会持续增多?勒索病毒已经成为了全球网络安全最大的威胁,各企业要做好相应的防范措施,提高企业员工安全意识,以防中招
本文转自:安全分析与研究