Sodinokibi勒索病毒全解,值得一看!

作者:   深圳市网安计算机安全检测技术有限公司 2019/07/10 10:26:41 410次阅读 国际
文章来源:https://mp.weixin.qq.com/s/iK8tQQ2sTa6YiVeoQlphMQ

        此前我写过一篇《威胁情报:揭密全球最大勒索病毒GandCrab的接班人》,揭露了一些关于Sodinokibi勒索病毒的传播渠道与细节,有兴趣的可以关注我的公众号,然后翻看之前的内容,最近国外一家安全公司也发布了一个报告,揭露Sodinokibi勒索病毒的相关信息,详细报告下载链接:
        https://www.tgsoft.it/immagini/news/20190705Sodinokibi/Sodinokibi_eng.pdf
        我仔细研究了它的报告,发现它跟我之前分析基本一致,这款勒索病毒首次出现是在2019年4月,利用Oracle WebLogic Server漏洞传播,C.R.A.M. TG Soft(反恶意软件研究中心) 在最近几个月分析了这款勒索病毒的演变
        这款勒索病毒在国内首次发现是4月份,于2019年5月24日首次在意大利被发现,使用RDP攻击的方式进行传播感染
        Sodinokibi勒索病毒的作者,如果这是他们开发的第一个勒索病毒版本,我可以猜测他们要么就是有很长时间的安全研究经验,要么就是拿到了GandCrab的部分源代码进行改装,我在四月份就曾分析过这款勒索病毒与GandCrab中使用的CC通信的代码非常相似,可以确定就是这款勒索病毒肯定与GandCrab有关系,至少是利用了GandCrab的部分渠道进行传播,GandCrab勒索于六月份开始关闭了,似乎Sodinokibi勒索病毒成为了GandCrab接班人,还是GandCrab的人又换了个马甲?这个纯属猜测了,还没有啥证据证明Sodinokibi勒索病毒背后的运营团队就是GandCrab的运营团队,还需要持续关注与研究才能弄清楚......
国外这份分析报告详细介绍了Sodinokibi勒索病毒的相关信息,包含:

b78a0c6dea9ca5cac8898886d195e7be.png

Sodinokibi感染传播方式,就目前发现的主要利用以下几种方式:
Oracle Weblogic Server漏洞
RDP攻击
垃圾邮件
APT水坑攻击方式
漏洞利用工具包和恶意广告下载
Sodinokibi会在内存中解密出一个json格式的配置信息,如下所示:

5f74135dd4170b62a85fa22ec03fda35.png

f288b43a0c371e1c26b76e1312aa5038.png

        这个分析报告写的非常详细了,很值得一看,Sodinokibi勒索病毒会不会是下一个GandCrab,需要安全研究人员继续追踪,不过就目前发现的Sodinokibi勒索病毒分析结果来看,这款勒索病毒并未出现新的变种或大的变种,必竟这款勒索病毒出来才两个多月,在未来一定会出现它的新的变种和版本,因为背后的运营团队不会就此罢手,一定会不断更新它的版本和渠道......

        Sodinokibi勒索病毒已经成为了GandCrab勒索病毒的接班人,可是遗憾的是:这款勒索病毒目前还没解密工具,全球各大企业和机构一定要做好相应的防范措施,以防中招!

        最后给大家分享一个好消息,我创办了一个知识星球,有兴趣的可以先加入学习,后期会对星球内容做详细介绍,并会在知识星球分享更多安全纯干货,不管你是从事安全的哪个方向,都一定可以在这个知识星球学到你想学的东西,知识星球:

76bae5201694a290a50d7ca796db3dae.png


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室