谨防垃圾邮件、虚假法庭传真传播 Sodinokibi 勒索软件

Sodinokibi勒索病毒于2019年4月在中​​国首次被发现，2019年5月24日在意大利首次被发现，在意大利被发现使用RDP攻击传播感染。 该病毒被称为GandCrab勒索病毒的后继者，在GandCrab勒索病毒运营团队停止更新后，立即接管了之前的GandCrab传播通道。 经过近半年的发展，该勒索病毒通过多种传播途径传播，如下图：

Oracle Weblogic 服务器漏洞

闪存 UAF 漏洞

RDP攻击

垃圾邮件

水坑攻击

漏洞利用工具包和恶意广告下载

自从GandCrab停止更新后，这款勒索病毒传播迅速，国内外多家公司中招。 微信好友发来勒索病毒求助，如下：

通过了解，这位朋友打开了一个邮件附件，然后被加密勒索，具体如下：

勒索病毒提示信息文本文件及样本如下：

拿到勒索信息和样本后，可以确认是Sodinokibi勒索病毒。 相关勒索信息如下：

垃圾邮件，如下：

发件人邮箱：user@qixinge.club，伪造中华人民共和国最高人民法院传真，向受害人发送垃圾邮件，然后附加勒索病毒。 该样本使用了一张DOC图片来迷惑受害者，如下图：

主要原因是利用部分受害者安全意识相对薄弱，直接打开附件中的程序文​​件，然后被中招，被加密勒索。 通过垃圾邮件传播也是一些勒索软件团伙常用的手法，主要是很多人对勒索软件不熟悉。 不知道，自己的安全意识也不够强，以为不会被敲诈……

通过分析这个勒索软件样本，和之前一样，它也使用了经过混淆和加密的外壳。 通过动态调试，可以在内存中解密出勒索病毒的核心代码，如下图：

对比之前的Sodinokibi勒索病毒代码如下：

代码响应率达到90%以上垃圾邮件勒索比特币，确认该勒索病毒为Sodinokibi变种，勒索病毒加密文件如下：

同时，桌面背景将修改如下：

该勒索软件将网站解密如下：

勒索金额为0.12805337BTC，截止后为0.25610674BTC，黑客BTC钱包地址：

3J7XVA4BRKSEbsbkn3LZzt8xAnszik8FKH

之前的BTC钱包地址：

3Fxn6x58FvreuBA9ECyxYdx8dQnDuZhxMj

3AXsdbxDtWd8BKw2tfZxH1nb3rXLKFFxXY

3JxrembpZuzsMVxtr7NBy2sxX1MhEiaRnf

黑手党利用垃圾邮件传播勒索软件，主要是受害人的安全意识不强。 收到垃圾邮件后，他们立即打开邮件中的附件程序。 勒索软件的运行会导致系统被加密勒索。 该勒索病毒目前主要通过垃圾邮件、RDP爆破、CVE漏洞等方式传播。 目前该勒索病毒暂时无法解密，全球也没有安全公司或组织发布相关解密工具。 请务必提高安全意识，警惕垃圾邮件，更不要轻易打开邮件中的附件

近一两年来，针对企业的勒索软件攻击事件越来越多。 朋友们一直通过微信联系我，反馈各种勒索软件相关信息。 我要感谢我所有的朋友。 大多数勒索软件无法解密。 希望企业能够做到。 采取相应的勒索病毒防御措施，提高员工的安全意识。 不要以为不被敲诈就什么事都没有。 事实上，黑色产业每天都在不断地发起勒索攻击。 不要等到中了勒索病毒才知道安全的重要性。 关于勒索 病毒防御和应急处理可以参考以下两篇文章：

世界上大多数安全问题都是由恶意软件攻击的。 如果您对这些恶意软件感兴趣，想研究学习各种恶意样本的分析技术垃圾邮件勒索比特币，想和一些专业的恶意样本分析专家交流，欢迎加入知识星球：安全分析与研究，分享各种安全技术：应急响应、恶意样本分析、渗透测试、漏洞研究、移动安全等。