这款勒索病毒首次出现是在2019年4月,利用Oracle WebLogic Server漏洞传播,C.R.A.M. TG Soft(反恶意软件研究中心) 在最近几个月分析了这款勒索病毒的演变
这款勒索病毒在国内首次发现是4月份,于2019年5月24日首次在意大利被发现,使用RDP攻击的方式进行传播感染
Sodinokibi勒索病毒的作者,如果这是他们开发的第一个勒索病毒版本,我可以猜测他们要么就是有很长时间的安全研究经验,要么就是拿到了GandCrab的部分源代码进行改装,我在四月份就曾分析过这款勒索病毒与GandCrab中使用的CC通过的代码非常相似,可以确定就是这款勒索病毒肯定与GandCrab有关系,至少是利用了GandCrab的部分渠道进行传播,GandCrab勒索于六月份开始关闭了,似乎Sodinokibi勒索病毒成为了GandCrab接班人
国外这份分析报告详细介绍了Sodinokibi勒索病毒的相关信息,包含:
Sodinokibi感染传播方式,就目前发现的主要利用以下几种方式:
Oracle Weblogic Server漏洞
RDP攻击
垃圾邮件
APT水坑攻击方式
漏洞利用工具包和恶意广告下载
Sodinokibi会在内存中解密出一个json格式的配置信息,如下所示:
配置文件的格式,如下所示:
各个字段对应的描述信息,如下所示:
其中C2域名,有几百个之多
这个分析报告写的非常详细了,很值得一看,Sodinokibi勒索病毒会不会是下一个GandCrab,需要安全研究人员继续追踪,不过就目前发现的Sodinokibi勒索病毒分析结果来看,这款勒索病毒未非出现新的变种或大的变种,必竟这款勒索病毒出来才两个多月,在未来一定会出现它的新的变种和版本,因为背后的运营团队不会就此罢手,一定会不断更新它的版本和渠道……
Sodinokibi勒索病毒已经成为了GandCrab勒索病毒的接班人,可是遗憾的是:这款勒索病毒目前还没解密工具,全球各大企业和机构一定要做好相应的防范措施,以防中招!
本文转自:安全分析与研究
