樣本資訊
樣本名稱:Sodinoki
樣本家族:Sodinoki
樣本型別:勒索
MD5: 12befdd8032a552e603fabc5d37bda35
e08d8c6d2914952c25df1cd0da66131b
SHA1: 04a12c70de87894d189be572718a9b781e192a90
96b93642444f087fc299bde75a82aef40d716eb7
檔案型別:email, exe
檔案大小:456145 bytes, 280576 bytes
傳播途徑:郵件附件
專殺資訊:暫無
影響系統:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 10等64位作業系統。
樣本來源:
發現時間:2019.6.13
入庫時間:
C2伺服器:暫無
樣本概況
此次攻擊疑似針對國內遊戲測評公司任玩堂(www.appgame.com),郵件偽裝成DHL貨物交付延遲通知,獲取受害者信任並誘使開啟。
附件為壓縮包,內含四個檔案,可執行檔案的屬性設定為隱藏,因此正常使用者在預設設定情況下是無法看到可執行程式的存在,只能看到兩個快捷方式。在設定顯示隱藏檔案後能看到所有的相關檔案。
樣本危害
該病毒會惡意加密檔案並勒索使用者交付贖金但不提供解密方法,如果中了此病毒將會導致檔案無法還原和使用進而造成使用者經濟、財產的損失。
手工清除方法
無
應對措施及建議
1). .儘量關閉不必要的埠,如 445、135,139 等,對 3389、5900 等埠可進行白名單配置,只允許白名單內的 IP 連線登陸。
2). 採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼。
3). 安裝防毒防毒軟體並將病毒庫升級為最新版本,並定期對計算機進行全盤掃描。
4). 安裝江民赤豹端點全息系統,一鍵恢復作業系統至加密前任何時間結點,無懼勒索。
5). 對重要檔案應及時備份,如果不幸中了勒索病毒,不要輕易支付贖金,因為很多勒索病毒其實並不提供解密功能,支付贖金只會造成更大的經濟損失。
6). 不要隨意開啟執行來路不明的檔案。
7). 不要從不可靠的渠道下載軟體,因為這些軟體很可能是帶有病毒的。
行為概述
檔案行為
程式行為
暫無
登錄檔行為
寫入 HKEY_LOCAL_MACHINE\SOFTWARE\recfg
網路行為
暫無
詳細分析報告
偽裝成Office Word的病毒樣本首先解密一段ShellCode,並跳轉執行該ShellCode:。
ShellCode主要功能為解密核心PayLoad並跳轉執行:
核心PayLoad為sodinokibi勒索病毒,動態解密修正137處IAT:
緊接著建立互斥,保證只有一個例項執行:
之後解密配置資訊,解密函式如下:
解密的配置資訊包括公鑰、白名單目錄、白名單檔案、白名單字尾、域名、要結束的程式等資訊:
然後將公鑰、加密後的字尾等資訊儲存到登錄檔HKEY_LOCAL_MACHINE\SOFTWARE\recfg:
並透過GetKeyboardLayoutList獲取鍵盤佈局資訊,當遇到下列語言環境時則不進行檔案加密:
判斷當前程式是否存在配置檔案中需要結束的程式,若有則結束該程式
並透過執行CMD命令刪除卷影檔案防止使用者恢復被加密的檔案:
並在每個目錄下生成勒索相關資訊:
最終加密除白名單配置以外的所有檔案,將加密後的檔案設定為之前儲存在登錄檔中的隨機字尾:
最後嘗試連線配置檔案中的域名,傳送受害者計算機基本資訊:
總結
由於Sodinokibi會透過電子郵件傳播,我們建議您不要開啟任何未知來源的電子郵件,尤其是不要開啟附件。即使附件來自常用聯絡人,我們也建議您在開啟之前,使用防毒軟體對其進行掃描,以確保它不包含任何惡意文件或檔案。。
附錄
Hash
C&C