Sodinokibi勒索病毒在国内首次被发现于2019年4月份,2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,在短短几个月的时间内,已经在全球大范围传播,近日笔者在某个渠道发现了此勒索病毒的解密工具,可解密此勒索病毒一千七百多种不同的变种样本
今年六月一号,在GandCrab勒索病毒运营团队停止更新之后,就马上接管了之前GandCrab的传播渠道,经过近半年的发展,这款勒索病毒使用了多种传播渠道进行传播扩散,如下所示:
Oracle Weblogic Server漏洞
Flash UAF漏洞
RDP攻击
垃圾邮件
水坑攻击
漏洞利用工具包和恶意广告下载
Sodinokibi(REvil)勒索病毒仍然在全球范围内疯狂传播,最近监控到的一些新的变种样本主要通过漏洞或垃圾邮件的方式进行传播,笔者之前曾在相关渠道下载过一个Sodinokibi解密器1.1版本,不过1.1版本Sodinokibi解密工具好像只能针对解密一个加密后缀的变种,最近笔者又从某个渠道下载到此勒索病毒1.3版本的解密工具,这个解密工具修改时间为2019/9/18,如下所示:
通过监控最新的Sodinokibi解密工具应该是1.6版本,不过此版本的解密工具可解密的后缀未知,如下所示:
最新发现的这款1.3版本的Sodinokibi解密工具,上面显示可以解密多种不同的加密后缀,运行之后,如下所示:
解密工具里面还包含有一个解密的密钥主文件,内容如下所示:
master_sk:aFJR6UwNrTacHrPYP72Z3QTl7yC96DFevmkXIiDSE00=,后面有一个可解密的EXT后缀名列表,通过统计之后发现此勒索病毒1.3版本的这款解密工具一共可解密的文件后缀名高达1746个
前一段时间GandCrab的源码和Sodinokibi的某个版本的解密工具被人放到网上进行出售,时隔近半年虽然GandCrab勒索病毒已经宣布退出“历史”,但是以它为“模板”的新型勒索病毒不断涌现,它们似乎都有着GandCrab的“影子”,可以说正是因为有GandCrab勒索病毒这样的案例才导致有不少新的勒索病毒网络犯罪团伙加入,而且现在选择支付赎金的企业也越来越多,未来针对企业的勒索病毒一定会有增无减,因为搞黑产的目的仅仅就是为了利益
如何判断是否中了该勒索病毒?此勒索病毒加密文件后,会修改受害者的桌面背景图片,类似如下所示:
生成的勒索提示信息文件[加密后缀名]-readme.txt,文件内容类似如下所示:
打开该提示信息文件中的勒索病毒解密提示网站,类似如下所示:
可以通过上面的一些现象判断是否中了此勒索病毒,如果你的企业或个人电脑中了Sodinokibi勒索病毒,可以通过微信联系咨询我,需要提供加密后的文件、勒索提示信息或者直接提供相关的病毒样本,此解密工具暂不对外公开
针对企业的勒索病毒攻击越来越多了,具有很强的针对性,旧的勒索病毒不断变种,新型的勒索病毒又不断出现,全球每天都有勒索病毒的变种被发现,同时每天都有不同的企业被勒索病毒攻击,真的是数不甚数,随着BTC等虚拟货币的流行,未来勒索病毒的攻击还会持续增多,而且后面可能会慢慢转向针对不同的平台进行攻击,勒索病毒已经成为了全球网络安全最大的威胁
最后欢迎大家关注此微信公众号,专注全球恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息
往期精彩回顾
【勒索预警】垃圾邮件冒充中国工商银行传播Sodinokibi勒索病毒
如果对恶意样本分析技术感兴趣,可以加入知识星球进行学习,加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长
安全的路很长,贵在坚持……
