近日，江民赤豹安全實(shí)驗(yàn)室追蹤到，前段時(shí)間造成巨大影響的“Sodinokibi”勒索病毒出現(xiàn)了新的變種，專(zhuān)門(mén)針對(duì)中國(guó)企業(yè)用戶(hù)進(jìn)行持續(xù)釣魚(yú)攻擊。相比之前，本輪攻擊更有針對(duì)性和目的性，特意瞄準(zhǔn)了具有支付能力的國(guó)內(nèi)中大型企業(yè)。從江民反病毒監(jiān)測(cè)中心數(shù)據(jù)顯示，國(guó)內(nèi)以星*灣地產(chǎn)集團(tuán)、上海科*諾股份等公司為代表的一批中大型集團(tuán)、上市企業(yè)赫然出現(xiàn)在攻擊者的目錄中，此類(lèi)具有較大影響力和支付能力的企業(yè)成為了攻擊者首選目標(biāo)。

赤豹安全實(shí)驗(yàn)室研究發(fā)現(xiàn)，“Sodinokibi”變種勒索病毒會(huì)偽裝成DHL國(guó)際快運(yùn)公司此類(lèi)的第三方服務(wù)機(jī)構(gòu)的郵箱域名，大規(guī)模推送隱藏了勒索病毒附件的釣魚(yú)郵件，用戶(hù)一旦點(diǎn)擊附件，就有可能感染勒索病毒，并新增了共享文件感染的功能，感染后使用RSA+salsa20算法加密電腦上的重要文件，影響用戶(hù)關(guān)鍵業(yè)務(wù)運(yùn)行，以此勒索巨額贖金（超過(guò)3萬(wàn)美金的比特幣）。

 

此外，“Sodinokibi”勒索病毒在執(zhí)行加密時(shí)，會(huì)加載一個(gè)白名單，對(duì)其中指定的某些文件夾和文件類(lèi)型不加密，還排除了幾個(gè)俄語(yǔ)系國(guó)家及東歐國(guó)家不進(jìn)行加密破壞行動(dòng)，這充分表明了這是一次有預(yù)謀的具有地域針對(duì)性的黑客攻擊。

 

新的“Sodinokibi”變種病毒，黑客組織研究了國(guó)內(nèi)主流殺軟防御機(jī)制，特意進(jìn)行了免殺處理，會(huì)繞開(kāi)殺毒軟件的防御，導(dǎo)致了一些殺軟無(wú)法查殺，目前國(guó)內(nèi)江民殺毒軟件可以及時(shí)攔截查殺。

圖為免殺的部分代碼

早于今年4月，江民赤豹安全實(shí)驗(yàn)室就發(fā)現(xiàn)了“Sodinokibi”勒索病毒，其代碼中多項(xiàng)特征與GandCrab類(lèi)似，被認(rèn)為是GandCrab勒索軟件的“繼承者”。“Sodinokibi”勒索病毒會(huì)偽裝成稅務(wù)單位、司法機(jī)構(gòu)、快遞公司，大規(guī)模推送釣魚(yú)欺詐郵件來(lái)傳播，感染后使用RSA+salsa20算法加密電腦上的重要文件，影響用戶(hù)關(guān)鍵業(yè)務(wù)運(yùn)行。此次“Sodinokibi”新變種病毒會(huì)對(duì)使用到的大量字串進(jìn)一步使用RC4算法進(jìn)行加密，最終使用RSA+salsa20的方式配合IOCP完成端口模型進(jìn)行文件的加密流程，被該病毒加密破壞的文件暫時(shí)無(wú)法解密，請(qǐng)廣大用戶(hù)提高警惕，做好事前防御工作。

快速辨別釣魚(yú)郵件

釣魚(yú)郵件的主要特點(diǎn)。釣魚(yú)郵件通常會(huì)偽裝成企業(yè)、機(jī)構(gòu)、政府的身份或虛構(gòu)人員，或使用偽造郵件地址，模仿正式通知的語(yǔ)氣，引導(dǎo)用戶(hù)去點(diǎn)擊郵件中的不明鏈接、下載郵件的附件。但這些不明鏈接、附件，一旦點(diǎn)擊就會(huì)自動(dòng)下載木馬病毒，用戶(hù)電腦面臨賬號(hào)、數(shù)據(jù)被竊取，感染病毒的風(fēng)險(xiǎn)。

辨別釣魚(yú)郵件，首先關(guān)注來(lái)郵的地址信息。電子郵件與常規(guī)郵件類(lèi)似，其發(fā)信人地址可以分為信封地址和信息地址，信封地址是發(fā)件人聲稱(chēng)的地址，由發(fā)件人自己填寫(xiě)；而信息地址為郵件服務(wù)器記錄的實(shí)際地址。從而可見(jiàn)，信封地址是可以偽造的，而用戶(hù)往往看到的就是發(fā)件人的信封地址（可以將光標(biāo)移至發(fā)件人或信封地址后面查看是否有地址不一致的提示）。一般來(lái)說(shuō)一封正常的電子郵件應(yīng)該是信息地址和信封地址是相同的，如果不同，或標(biāo)記“代發(fā)”的，就要特別小心，可以初步判斷可能是一封偽造郵件，也就是可能是釣魚(yú)郵件。

如何預(yù)防勒索病毒

江民赤豹安全實(shí)驗(yàn)室專(zhuān)家表示，防范勒索病毒最重要的是做好事前防御工作，用戶(hù)切勿抱有僥幸心理，中了勒索病毒再四處尋求解密途徑為時(shí)已晚，并且有很大風(fēng)險(xiǎn)。第一，中了勒索病毒加密系統(tǒng)文件，可能影響重要業(yè)務(wù)系統(tǒng)運(yùn)行，造成巨大損失；第二，真實(shí)事例表明，即使向攻擊者支付了贖金也不一定能解密成功，一些攻擊者只是從暗網(wǎng)買(mǎi)到勒索病毒程序以此牟取贖金，并沒(méi)有解密的秘鑰。與其寄希望于黑客的操守，不如事前做好防范措施。

江民安全專(zhuān)家提供用戶(hù)做好以下防范措施：

1). 對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份，安裝江民殺毒軟件并及時(shí)更新病毒庫(kù)；

2). 不要點(diǎn)擊來(lái)源不明的郵件以及附件；

3). 重命名vssadmin.exe進(jìn)程，防止勒索病毒利用它一次性清除文件的卷影副本；

4). Weblogic、Apache Struts2等服務(wù)器組件及時(shí)安裝安全補(bǔ)丁，更新到最新版本；

5). 使用長(zhǎng)度大于10位的復(fù)雜密碼，禁用GUEST來(lái)賓帳戶(hù)；

6). 盡量不要使用局域網(wǎng)共享，或把共享磁盤(pán)設(shè)置為只讀屬性，不允許局域網(wǎng)用戶(hù)改寫(xiě)文件；

7). 關(guān)閉不必要的端口，如：445、135、139、3389等；

8). 安裝江民赤豹端點(diǎn)全息系統(tǒng)，全面防御勒索病毒，保護(hù)重要數(shù)據(jù)。