烽火狼烟之打鬼子去 烽火狼烟丨“以身试毒”之REvil/Sodinokibi勒索病毒分析

近年来，盗版事件频繁发生，给企业和用户造成了极大的危害。勒索病毒是一种新型的计算机病毒，主要以邮件、木马和网页挂马的形式传播。病毒入侵系统后，使用各种加密算法对文件进行加密，但被感染的人一般无法解密，所以必须得到解密后的私钥才能破解。病毒性质恶劣，危害极大，一旦感染，会给用户带来无法估量的损失。

ransomware通过高风险漏洞/弱密码等获得系统权限。一旦运行，就会连接攻击者的服务器下载加密的公钥，并写入注册表，遍历机器上的word等所有文件，对这些文件进行加密篡改；加密完成后，生成勒索提示文件，要求用户付费解密文件。

近日，盛邦的一位安全研究员对Sodinokibi ransomware进行了安全研究。Sodinokibi ransomware最早于2019年4月在中国发现，5月在意大利被发现通过RDP攻击传播感染，类似于之前的GandCrab ransomware。

这种病毒有几种常见的传播方式:

Oracle Weblogic Server漏洞：由于Oracle WebLogic Server存在一个反序列化漏洞（CVE-2019-2725），攻击者可利用此漏洞获得对服务器的完全访问权限，植入Sodinokibi勒索病毒并运行；Flash UAF漏洞：由于Flash 存在UAF漏洞（CVE-2018-4878），可远程命令执行下载Sodinokibi勒索病毒并运行；RDP攻击：攻击者对开启3389端口的主机进行RDP暴力破解，成功破解可传送Sodinokibi勒索病毒文件；钓鱼邮件：利用伪命题邮件及附件传递Sodinokibi勒索病毒，并诱导用户下载运行；水坑攻击：攻击者分析目标的网络活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击；漏洞利用工具包和恶意广告下载：利用漏洞或伪装成广告使Sodinokibi勒索病毒可被下载并执行。

WebRAY安全研究人员分析了Windows 10环境下的病毒样本。首先运行Sodinokibi ransomware样例，然后生成{random character }-readme.txt文件；用户需要按照这个txt文件中的要求进行操作，并支付相应的赎金后才能释放文件加密(执行不需要相应权限)。

勒索提示信中提到了两种解密方法:

1)使用Tor浏览器访问指定网站并支付赎金；

2)使用VPN访问指定网站，支付赎金。

下图显示了赎金支付页面:

程序运行后，桌面背景变为蓝色，并显示文件已加密的字样:

文件加密采用RSA+salsa20加密算法。以下文件已加密:

Sodinokibi ransomware运行后，json格式的配置信息在内存中解密:

json配置文件格式如下:

{

" pk ":"，//公钥

" pid ":"，//识别号

“sub”:“，//识别号

" dbg "/>