Sodinoki樣本分析報告

江民科技發表於2019-06-26

樣本資訊

樣本名稱:Sodinoki

樣本家族:Sodinoki

樣本型別:勒索

MD5: 12befdd8032a552e603fabc5d37bda35

e08d8c6d2914952c25df1cd0da66131b

SHA1: 04a12c70de87894d189be572718a9b781e192a90

96b93642444f087fc299bde75a82aef40d716eb7

檔案型別:email, exe

檔案大小:456145 bytes, 280576 bytes

傳播途徑:郵件附件 

專殺資訊:暫無

影響系統:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 10等64位作業系統。

樣本來源:

發現時間:2019.6.13

入庫時間:

C2伺服器:暫無 

樣本概況

此次攻擊疑似針對國內遊戲測評公司任玩堂(www.appgame.com),郵件偽裝成DHL貨物交付延遲通知,獲取受害者信任並誘使開啟。

附件為壓縮包,內含四個檔案,可執行檔案的屬性設定為隱藏,因此正常使用者在預設設定情況下是無法看到可執行程式的存在,只能看到兩個快捷方式。在設定顯示隱藏檔案後能看到所有的相關檔案。 

樣本危害

該病毒會惡意加密檔案並勒索使用者交付贖金但不提供解密方法,如果中了此病毒將會導致檔案無法還原和使用進而造成使用者經濟、財產的損失。

手工清除方法

應對措施及建議

1). .儘量關閉不必要的埠,如 445、135,139 等,對 3389、5900 等埠可進行白名單配置,只允許白名單內的 IP 連線登陸。

2). 採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼。

3). 安裝防毒防毒軟體並將病毒庫升級為最新版本,並定期對計算機進行全盤掃描。

4). 安裝江民赤豹端點全息系統,一鍵恢復作業系統至加密前任何時間結點,無懼勒索。

5). 對重要檔案應及時備份,如果不幸中了勒索病毒,不要輕易支付贖金,因為很多勒索病毒其實並不提供解密功能,支付贖金只會造成更大的經濟損失。

6). 不要隨意開啟執行來路不明的檔案。

7). 不要從不可靠的渠道下載軟體,因為這些軟體很可能是帶有病毒的。

行為概述

檔案行為

程式行為

暫無

登錄檔行為

寫入 HKEY_LOCAL_MACHINE\SOFTWARE\recfg

網路行為

暫無

詳細分析報告

偽裝成Office Word的病毒樣本首先解密一段ShellCode,並跳轉執行該ShellCode:。

Sodinoki樣本分析報告 

Sodinoki樣本分析報告

ShellCode主要功能為解密核心PayLoad並跳轉執行:

Sodinoki樣本分析報告

核心PayLoad為sodinokibi勒索病毒,動態解密修正137處IAT:

Sodinoki樣本分析報告

緊接著建立互斥,保證只有一個例項執行:

Sodinoki樣本分析報告

之後解密配置資訊,解密函式如下:

Sodinoki樣本分析報告

解密的配置資訊包括公鑰、白名單目錄、白名單檔案、白名單字尾、域名、要結束的程式等資訊:

Sodinoki樣本分析報告

然後將公鑰、加密後的字尾等資訊儲存到登錄檔HKEY_LOCAL_MACHINE\SOFTWARE\recfg:

Sodinoki樣本分析報告

並透過GetKeyboardLayoutList獲取鍵盤佈局資訊,當遇到下列語言環境時則不進行檔案加密:

Sodinoki樣本分析報告

判斷當前程式是否存在配置檔案中需要結束的程式,若有則結束該程式

Sodinoki樣本分析報告

並透過執行CMD命令刪除卷影檔案防止使用者恢復被加密的檔案:

Sodinoki樣本分析報告

並在每個目錄下生成勒索相關資訊:

Sodinoki樣本分析報告

最終加密除白名單配置以外的所有檔案,將加密後的檔案設定為之前儲存在登錄檔中的隨機字尾:

Sodinoki樣本分析報告

最後嘗試連線配置檔案中的域名,傳送受害者計算機基本資訊:

Sodinoki樣本分析報告

總結

由於Sodinokibi會透過電子郵件傳播,我們建議您不要開啟任何未知來源的電子郵件,尤其是不要開啟附件。即使附件來自常用聯絡人,我們也建議您在開啟之前,使用防毒軟體對其進行掃描,以確保它不包含任何惡意文件或檔案。。

附錄

Hash

C&C

相關文章