近期，江民赤豹網絡安全實驗室監(jiān)測到Sodinokibi勒索軟件感染事件呈上升趨勢。Sodinokibi勒索病毒首先出現于2019年4月底，早期使用web服務相關漏洞傳播。近期發(fā)現，Sodinokibi勒索病毒會偽裝成稅務單位、司法機構，使用釣魚欺詐郵件來傳播，感染后使用RSA+salsa20算法加密電腦上的重要文件，影響用戶業(yè)務運行。

 

早在今年6月初，GandCrab勒索病毒制造者就在俄語論壇中發(fā)布“退休”聲明，聲稱在2018年中通過GandCrab勒索病毒勒索超過20億美元（約134億人民幣）的贖金，鼓勵更多的惡意攻擊者加入勒索行動，而Sodinokibi在GandCrab勒索病毒“退休”前的一個月被第一次發(fā)現，其代碼中多項特征與GandCrab類似，被認為是GandCrab勒索軟件的“繼承者”。

江民殺毒軟件已經能夠查殺最新病毒樣本

1 惡意代碼介紹

Sodinokibi勒索病毒，又常常被稱為Sodin、REvil，盡管從發(fā)現第一個版本至今才不到3個月時間，該勒索病毒的知名度已經非常高了，因為它與剛剛退休不久的GandCrab勒索軟件有著極強的關聯(lián)。

如同GandCrab一樣，Sodinokibi也采用勒索軟件即服務（RaaS）的形式進行分發(fā)傳播，從技術上看Sodinokibi比GandCrab更加先進。根據互聯(lián)網中的數據顯示，自從GandCrab勒索軟件在5月宣布徹底退出后，Sodinokibi勒索軟件在六、七月中旬的感染數量明顯上升，可以預見這個趨勢在未來可能會更加嚴重。

2 惡意代碼危害

使用RSA+salsa20算法加密電腦上的重要文件，使工作資料無法使用。

3 惡意代碼傳播方式

1). 通過Oracle WebLogic、Apache Struts2漏洞進行傳播；

2). 通過偽裝成合法軟件誘導用戶下載運行傳播；

3). 通過垃圾郵件和惡意鏈接進行傳播；

4). 通過遠程RDP、SSH弱口令爆破進行傳播。

4 惡意代碼分析

詳情見《sodinokibi勒索病毒分析報告》http://m.tlhnw.com/download/Sodinokibi.pdf

5 處理方案

1). 對重要的數據文件定期進行非本地備份；

2). 不要點擊來源不明的郵件以及附件；

3). 重命名vssadmin.exe進程，防止勒索病毒利用它一次性清除文件的卷影副本；

4). Weblogic、Apache Struts2等服務器組件及時安裝安全補丁，更新到最新版本；

5). 使用長度大于10位的復雜密碼，禁用GUEST來賓帳戶。

6). 盡量不要使用局域網共享，或把共享磁盤設置為只讀屬性，不允許局域網用戶改寫文件。

7). 關閉不必要的端口，如：445、135、139、3389等。

8). 安裝江民赤豹端點全息系統(tǒng)，全面防御勒索病毒。