主页 > imtoken钱包官网下载2.0 > 谨防垃圾邮件、虚假法庭传真传播 Sodinokibi 勒索软件
谨防垃圾邮件、虚假法庭传真传播 Sodinokibi 勒索软件
Sodinokibi勒索病毒于2019年4月在中国首次被发现,2019年5月24日在意大利首次被发现,在意大利被发现使用RDP攻击传播感染。 该病毒被称为GandCrab勒索病毒的后继者,在GandCrab勒索病毒运营团队停止更新后,立即接管了之前的GandCrab传播通道。 经过近半年的发展,该勒索病毒通过多种传播途径传播,如下图:
Oracle Weblogic 服务器漏洞
闪存 UAF 漏洞
RDP攻击
垃圾邮件
水坑攻击
漏洞利用工具包和恶意广告下载
自从GandCrab停止更新后,这款勒索病毒传播迅速,国内外多家公司中招。 微信好友发来勒索病毒求助,如下:
通过了解,这位朋友打开了一个邮件附件,然后被加密勒索,具体如下:
勒索病毒提示信息文本文件及样本如下:
拿到勒索信息和样本后,可以确认是Sodinokibi勒索病毒。 相关勒索信息如下:
垃圾邮件,如下:
发件人邮箱:user@qixinge.club,伪造中华人民共和国最高人民法院传真,向受害人发送垃圾邮件,然后附加勒索病毒。 该样本使用了一张DOC图片来迷惑受害者,如下图:
主要原因是利用部分受害者安全意识相对薄弱,直接打开附件中的程序文件,然后被中招,被加密勒索。 通过垃圾邮件传播也是一些勒索软件团伙常用的手法,主要是很多人对勒索软件不熟悉。 不知道,自己的安全意识也不够强,以为不会被敲诈……
通过分析这个勒索软件样本,和之前一样,它也使用了经过混淆和加密的外壳。 通过动态调试,可以在内存中解密出勒索病毒的核心代码,如下图:
对比之前的Sodinokibi勒索病毒代码如下:
代码响应率达到90%以上垃圾邮件勒索比特币,确认该勒索病毒为Sodinokibi变种,勒索病毒加密文件如下:
同时,桌面背景将修改如下:
该勒索软件将网站解密如下:
勒索金额为0.12805337BTC,截止后为0.25610674BTC,黑客BTC钱包地址:
3J7XVA4BRKSEbsbkn3LZzt8xAnszik8FKH
之前的BTC钱包地址:
3Fxn6x58FvreuBA9ECyxYdx8dQnDuZhxMj
3AXsdbxDtWd8BKw2tfZxH1nb3rXLKFFxXY
3JxrembpZuzsMVxtr7NBy2sxX1MhEiaRnf
黑手党利用垃圾邮件传播勒索软件,主要是受害人的安全意识不强。 收到垃圾邮件后,他们立即打开邮件中的附件程序。 勒索软件的运行会导致系统被加密勒索。 该勒索病毒目前主要通过垃圾邮件、RDP爆破、CVE漏洞等方式传播。 目前该勒索病毒暂时无法解密,全球也没有安全公司或组织发布相关解密工具。 请务必提高安全意识,警惕垃圾邮件,更不要轻易打开邮件中的附件
近一两年来,针对企业的勒索软件攻击事件越来越多。 朋友们一直通过微信联系我,反馈各种勒索软件相关信息。 我要感谢我所有的朋友。 大多数勒索软件无法解密。 希望企业能够做到。 采取相应的勒索病毒防御措施,提高员工的安全意识。 不要以为不被敲诈就什么事都没有。 事实上,黑色产业每天都在不断地发起勒索攻击。 不要等到中了勒索病毒才知道安全的重要性。 关于勒索 病毒防御和应急处理可以参考以下两篇文章:
世界上大多数安全问题都是由恶意软件攻击的。 如果您对这些恶意软件感兴趣,想研究学习各种恶意样本的分析技术垃圾邮件勒索比特币,想和一些专业的恶意样本分析专家交流,欢迎加入知识星球:安全分析与研究,分享各种安全技术:应急响应、恶意样本分析、渗透测试、漏洞研究、移动安全等。