近年来,盗版事件频繁发生,给企业和用户造成了极大的危害。勒索病毒是一种新型的计算机病毒,主要以邮件、木马和网页挂马的形式传播。病毒入侵系统后,使用各种加密算法对文件进行加密,但被感染的人一般无法解密,所以必须得到解密后的私钥才能破解。病毒性质恶劣,危害极大,一旦感染,会给用户带来无法估量的损失。

ransomware通过高风险漏洞/弱密码等获得系统权限。一旦运行,就会连接攻击者的服务器下载加密的公钥,并写入注册表,遍历机器上的word等所有文件,对这些文件进行加密篡改;加密完成后,生成勒索提示文件,要求用户付费解密文件。

近日,盛邦的一位安全研究员对Sodinokibi ransomware进行了安全研究。Sodinokibi ransomware最早于2019年4月在中国发现,5月在意大利被发现通过RDP攻击传播感染,类似于之前的GandCrab ransomware。

这种病毒有几种常见的传播方式:

Oracle Weblogic Server漏洞:由于Oracle WebLogic Server存在一个反序列化漏洞(CVE-2019-2725),攻击者可利用此漏洞获得对服务器的完全访问权限,植入Sodinokibi勒索病毒并运行;Flash UAF漏洞:由于Flash 存在UAF漏洞(CVE-2018-4878),可远程命令执行下载Sodinokibi勒索病毒并运行;RDP攻击:攻击者对开启3389端口的主机进行RDP暴力破解,成功破解可传送Sodinokibi勒索病毒文件;钓鱼邮件:利用伪命题邮件及附件传递Sodinokibi勒索病毒,并诱导用户下载运行;水坑攻击:攻击者分析目标的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击;漏洞利用工具包和恶意广告下载:利用漏洞或伪装成广告使Sodinokibi勒索病毒可被下载并执行。

WebRAY安全研究人员分析了Windows 10环境下的病毒样本。首先运行Sodinokibi ransomware样例,然后生成{random character }-readme.txt文件;用户需要按照这个txt文件中的要求进行操作,并支付相应的赎金后才能释放文件加密(执行不需要相应权限)。

勒索提示信中提到了两种解密方法:

1)使用Tor浏览器访问指定网站并支付赎金;

2)使用VPN访问指定网站,支付赎金。

下图显示了赎金支付页面:

程序运行后,桌面背景变为蓝色,并显示文件已加密的字样:

文件加密采用RSA+salsa20加密算法。以下文件已加密:

Sodinokibi ransomware运行后,json格式的配置信息在内存中解密:

json配置文件格式如下:

{

" pk ":",//公钥

" pid ":",//识别号

“sub”:“,//识别号

" dbg "/>

1.《烽火狼烟之打鬼子去 烽火狼烟丨“以身试毒”之REvil/Sodinokibi勒索病毒分析》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《烽火狼烟之打鬼子去 烽火狼烟丨“以身试毒”之REvil/Sodinokibi勒索病毒分析》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/guoji/1178133.html