樣本資訊

樣本名稱：Sodinoki

樣本家族：Sodinoki

樣本型別：勒索

MD5： 12befdd8032a552e603fabc5d37bda35

e08d8c6d2914952c25df1cd0da66131b

SHA1： 04a12c70de87894d189be572718a9b781e192a90

96b93642444f087fc299bde75a82aef40d716eb7

檔案型別：email, exe

檔案大小：456145 bytes, 280576 bytes

傳播途徑：郵件附件 

專殺資訊：暫無

影響系統：Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 10等64位作業系統。

樣本來源：

發現時間：2019.6.13

入庫時間：

C2伺服器：暫無 

樣本概況

此次攻擊疑似針對國內遊戲測評公司任玩堂（www.appgame.com），郵件偽裝成DHL貨物交付延遲通知，獲取受害者信任並誘使開啟。

附件為壓縮包，內含四個檔案，可執行檔案的屬性設定為隱藏，因此正常使用者在預設設定情況下是無法看到可執行程式的存在，只能看到兩個快捷方式。在設定顯示隱藏檔案後能看到所有的相關檔案。 

樣本危害

該病毒會惡意加密檔案並勒索使用者交付贖金但不提供解密方法，如果中了此病毒將會導致檔案無法還原和使用進而造成使用者經濟、財產的損失。

手工清除方法

無

應對措施及建議

1). .儘量關閉不必要的埠，如 445、135，139 等，對 3389、5900 等埠可進行白名單配置，只允許白名單內的 IP 連線登陸。

2). 採用高強度的密碼，避免使用弱口令密碼，並定期更換密碼。

3). 安裝防毒防毒軟體並將病毒庫升級為最新版本，並定期對計算機進行全盤掃描。

4). 安裝江民赤豹端點全息系統，一鍵恢復作業系統至加密前任何時間結點，無懼勒索。

5). 對重要檔案應及時備份，如果不幸中了勒索病毒，不要輕易支付贖金，因為很多勒索病毒其實並不提供解密功能，支付贖金只會造成更大的經濟損失。

6). 不要隨意開啟執行來路不明的檔案。

7). 不要從不可靠的渠道下載軟體，因為這些軟體很可能是帶有病毒的。

行為概述

檔案行為

程式行為

暫無

登錄檔行為

寫入 HKEY_LOCAL_MACHINE\SOFTWARE\recfg

網路行為

暫無

詳細分析報告

偽裝成Office Word的病毒樣本首先解密一段ShellCode，並跳轉執行該ShellCode：。

 

ShellCode主要功能為解密核心PayLoad並跳轉執行：

核心PayLoad為sodinokibi勒索病毒，動態解密修正137處IAT：

緊接著建立互斥，保證只有一個例項執行：

之後解密配置資訊，解密函式如下：

解密的配置資訊包括公鑰、白名單目錄、白名單檔案、白名單字尾、域名、要結束的程式等資訊：

然後將公鑰、加密後的字尾等資訊儲存到登錄檔HKEY_LOCAL_MACHINE\SOFTWARE\recfg：

並透過GetKeyboardLayoutList獲取鍵盤佈局資訊，當遇到下列語言環境時則不進行檔案加密：

判斷當前程式是否存在配置檔案中需要結束的程式，若有則結束該程式

並透過執行CMD命令刪除卷影檔案防止使用者恢復被加密的檔案：

並在每個目錄下生成勒索相關資訊：

最終加密除白名單配置以外的所有檔案，將加密後的檔案設定為之前儲存在登錄檔中的隨機字尾：

最後嘗試連線配置檔案中的域名，傳送受害者計算機基本資訊：

總結

由於Sodinokibi會透過電子郵件傳播，我們建議您不要開啟任何未知來源的電子郵件，尤其是不要開啟附件。即使附件來自常用聯絡人，我們也建議您在開啟之前，使用防毒軟體對其進行掃描，以確保它不包含任何惡意文件或檔案。。

附錄

Hash

C&C