1. 威客安全首页
  2. 安全资讯

Sodinokibi勒索病毒最新变种,勒索巨额赎金

点击蓝字关注我们

Sodinokibi勒索病毒最新变种,勒索巨额赎金


Sodinokibi勒索病毒在国内首次被发现于2019年4月份,2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,在短短几个月的时间内,已经在全球大范围传播,近日此勒索病毒最新的变种,采用进程注入的方式,将勒索病毒核心代码注入到正常进程中执行勒索加密文件操作


今年六月一号,在GandCrab勒索病毒运营团队停止更新之后,就马上接管了之前GandCrab的传播渠道,经过近半年的发展,这款勒索病毒此前使用了多种传播渠道进行传播扩散,如下所示:

OracleWeblogic Server漏洞

FlashUAF漏洞

RDP攻击

垃圾邮件

水坑攻击

漏洞利用工具包和恶意广告下载(RIG Exploit Kit等)


前两天笔者生病休息了两三天,今天稍微有点好转,最近两天内有好几个朋友咨询Sodinokibi勒索病毒相关问题,是不是又有新的变种出现了?事实上笔者在11月27号的时候就曾捕获到了一批新的Sodinokibi勒索病毒的最新变种,这批Sodinokibi勒索病毒与此前捕获到的Sodinokibi勒索病毒不同,都是DLL文件,不是EXE程序,预感未来几天可能这款勒索病毒会使用进程注入的方式加载这批DLL进行传播感染,这批DLL应该就是勒索病毒团伙新生成的一批勒索病毒核心Payload,用于注入进程使用的


周日,笔者又发现在论坛上有人上传了一个Sodinokibi勒索病毒的最新的样本,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金

上面显示勒索的金额,一台主机最高达4万美金,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金

此样本被人同时在29号的不同时间段上传到了在线分析网站上,猜测这款新的变种可能是29号左右开始传播的,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金

通过关联,发现此勒索病毒关联到一个服务器IP地址:45.141.84.22,通过微步在线进行查询,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金

服务器IP地址位于:俄罗斯

此勒索病毒运行之后会启动一个正常进程,笔者主机上启动是vbc.exe进程,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金

启动之后,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金

然后将勒索病毒核心代码注入到启动的vbc.exe进程中执行,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金

将Sodinokibi勒索病毒的核心代码DUMP下来,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金

加密之后的文件后缀名,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金

会修改桌面背景图片,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金

同时笔者在虚拟机中测试这款勒索病毒的时候有可能会触发蓝屏,可能是注入和结束进程的时候导致的,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金

勒索提示信息文件,如下所示:

Sodinokibi勒索病毒最新变种,勒索巨额赎金


针对企业的勒索病毒攻击越来越多了,具有很强的针对性,攻击手法也是多种多样,旧的勒索病毒不断变种,新型的勒索病毒又不断出现,基本上每天都有勒索病毒的变种被发现,同时经常有不同的企业被勒索病毒攻击的新闻曝光,真的是数不甚数,随着BTC等虚拟货币的流行,未来勒索病毒的攻击会不会持续增多?勒索病毒已经成为了全球网络安全最大的威胁,各企业要做好相应的防范措施,提高企业员工安全意识,以防中招


最后欢迎大家关注此微信公众号,专注于全球最新的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息,笔者有空休息的时候会不定期分享


往期精彩回顾

通过勒索病毒攻击案例,思考勒索病毒攻击现象与趋势


如果对恶意样本分析技术感兴趣,可以加入知识星球进行学习加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长

加入知识星球,安全的路上,我们一路前行

长按识别二维码加入星球

Sodinokibi勒索病毒最新变种,勒索巨额赎金
Sodinokibi勒索病毒最新变种,勒索巨额赎金

安全的路还很长,贵在坚持,做安全的要少熬夜,注意身体……



觉得内容还不错的话,给我点个“在看”呗

Sodinokibi勒索病毒最新变种,勒索巨额赎金
Sodinokibi勒索病毒最新变种,勒索巨额赎金

原文始发于微信公众号(安全分析与研究):Sodinokibi勒索病毒最新变种,勒索巨额赎金

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X