Sodinokibi勒索病毒最新變種勒索巨額贖金
責編:gltian |2019-12-09 14:56:27Sodinokibi勒索病毒在國內首次被發現于2019年4月份,2019年5月24日首次在意大利被發現,在意大利被發現使用RDP攻擊的方式進行傳播感染,這款病毒被稱為GandCrab勒索病毒的接班人,在短短幾個月的時間內,已經在全球大范圍傳播,近日此勒索病毒最新的變種,采用進程注入的方式,將勒索病毒核心代碼注入到正常進程中執行勒索加密文件操作。
今年六月一號,在GandCrab勒索病毒運營團隊停止更新之后,就馬上接管了之前GandCrab的傳播渠道,經過近半年的發展,這款勒索病毒此前使用了多種傳播渠道進行傳播擴散,如下所示:
OracleWeblogic Server漏洞
FlashUAF漏洞
RDP攻擊
垃圾郵件
水坑攻擊
漏洞利用工具包和惡意廣告下載(RIG Exploit Kit等)
前兩天筆者生病休息了兩三天,今天稍微有點好轉,最近兩天內有好幾個朋友咨詢Sodinokibi勒索病毒相關問題,是不是又有新的變種出現了?事實上筆者在11月27號的時候就曾捕獲到了一批新的Sodinokibi勒索病毒的最新變種,這批Sodinokibi勒索病毒與此前捕獲到的Sodinokibi勒索病毒不同,都是DLL文件,不是EXE程序,預感未來幾天可能這款勒索病毒會使用進程注入的方式加載這批DLL進行傳播感染,這批DLL應該就是勒索病毒團伙新生成的一批勒索病毒核心Payload,用于注入進程使用的
周日,筆者又發現在論壇上有人上傳了一個Sodinokibi勒索病毒的最新的樣本,如下所示:
上面顯示勒索的金額,一臺主機最高達4萬美金,如下所示:
此樣本被人同時在29號的不同時間段上傳到了在線分析網站上,猜測這款新的變種可能是29號左右開始傳播的,如下所示:
通過關聯,發現此勒索病毒關聯到一個服務器IP地址:45.141.84.22,通過微步在線進行查詢,如下所示:
服務器IP地址位于:俄羅斯
此勒索病毒運行之后會啟動一個正常進程,筆者主機上啟動是vbc.exe進程,如下所示:
啟動之后,如下所示:
然后將勒索病毒核心代碼注入到啟動的vbc.exe進程中執行,如下所示:
將Sodinokibi勒索病毒的核心代碼DUMP下來,如下所示:
加密之后的文件后綴名,如下所示:
會修改桌面背景圖片,如下所示:
同時筆者在虛擬機中測試這款勒索病毒的時候有可能會觸發藍屏,可能是注入和結束進程的時候導致的,如下所示:
勒索提示信息文件,如下所示:
獲取的樣本pdb信息
D:\Coding\!avBTDF17с\bin\Debugrwenc_exe_x86_debug.pdb,猜測最新的版本主要還是為了免殺!av,將核心代碼注入正常進程,這批新的變種應該最早是在20號左右編譯,27開始傳播,29號擴大傳播
針對企業的勒索病毒攻擊越來越多了,具有很強的針對性,攻擊手法也是多種多樣,舊的勒索病毒不斷變種,新型的勒索病毒又不斷出現,基本上每天都有勒索病毒的變種被發現,同時經常有不同的企業被勒索病毒攻擊的新聞曝光,真的是數不甚數,隨著BTC等虛擬貨幣的流行,未來勒索病毒的攻擊會不會持續增多?勒索病毒已經成為了全球網絡安全最大的威脅,各企業要做好相應的防范措施,提高企業員工安全意識,以防中招