Sodinokibi勒索病毒预警

发布者:lijunhua发布时间:2019-06-10浏览次数:2524

近日,亚信安全网络监测实验室截获Sodinokibi勒索病毒最新变种,该勒索病毒最早出现于2019年4月底,早期利用Oracle  WebLogic  Server中的反序列化漏洞(CVE-2019-2725)进行传播。近期我们发现最新变种通过钓鱼邮件进行传播,其攻击目标为商贸、科技、机关等单位相关工作人员。亚信安全将其命名为Ransom.Win32.SODINOKIBI.AUWSP。
Sodinokibi勒索病毒分析    
 钓鱼邮件附件伪装成Word文档、文件名则具有迷惑性,诱导用户点击:                                                                                            

【伪装成word文档】
我们对勒索病毒样本文件进行分析,发现其主要的功能函数,如下图所示
进入功能函数,首先动态解密修正IAT, 本次版本一共需要修正138处,相关函数函数包括:WinHttpOpenRequest、 FindNextFileW、WinHttpSendRequest、DeleteFileW等函数。
该勒索病毒会过滤如下白名单(目录,文件以及后缀名)
  • 目录:

system volume informationmozillaappdataintelmsocache
program files (x86)programdataperflogsprogram fileswindows
bootgoogle$windows.~bt$windows.~wstor browser
application datawindows.old$recycle.bin

  • 文件:

autorun.infntuser.datntuser.dat.logntldr
thumbs.dbdesktop.inintuser.iniboot.ini
bootfont.binbootsect.bakiconcache.db
  • 后缀名:

hlpadvromocxicnscabcommsi
iconomediathemepackmsstylesiclnlscplldf
binsyscurmodicsspldllrtp
ps1mpamsukeyscrcmdprfani
lnkshsdrvdiagcfgdiagcabwpxmscbat
386idxthemediagpkglockhtadeskthemepackexe
加密后,文件扩展名为随机字符:
勒索说明文件命名为“随机扩展名-readme.txt”:
解决方案
  • 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;

  • 尽量关闭不必要的文件共享;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 不要点击来源不明的邮件以及附件;

  • 浏览网页时不下载运行可疑程序;

  • 及时更新系统,更新应用程序;打全系统及应用程序补丁程序;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

亚信安全解决方案
  • 亚信安全病毒码版本15.147.60,云病毒码版本15.147.71,全球码版本15.149.00已经可以检测,请用户及时升级病毒码版本。

  • 针对Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725),亚信安全DS产品的DPI规则:
    1009707-Oracle Weblogic Server Remote Code Execution Vulnerability(CVE-2019-2725)

  • 针对Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725),亚信安全TDA产品的规则如下:
    2903 HTTP_POSSIBLE_ORACLE_WEBLOGIC_EXPLOIT

IOC
245f43b7d93d48e12db0082955712b7a229127fdd37e5b162007db85c463cca6