0x0 概述

近日，深信服安全團隊連續關於勒索病毒的求助。經過分析排查發現，其中的勒索病毒檔案相同，為Sodinokibi家族變種，且攻擊痕跡也有相似之處，疑似同一夥駭客團體連續作案。

0x1 兩次攻擊的相似點

都建立了一個“intel”資料夾用於儲存病毒檔案及駭客工具：

 

都將病毒命名為“d.exe”並複製到啟動目錄：

 

0x2 病毒分析

動態獲取程式執行所需API地址：

建立互斥量“Global\1DE3C565-E22C-8190-7A66-494816E6C5F5”，避免重複執行：

解密出加密配置資訊：

配置資訊為json格式文字，其包含如下資訊。

豁免資料夾：

"tencent fies","wechat files","perflogs","program files","mozilla","windows.old","program files (x86)","intel","google","windows","application data","$windows.~bt","system volume information","appdata","msocache","programdata","tor browser","$windows.~ws","boot"

豁免檔名：

"ph.exe","bro.exe","ntuser.dat","sais.exe","xm64.exe","boot.ini","bootfont.bin","ntuser.dat.log","autorun.inf","xwdef.exe","ntldr","desktop.ini","ntuser.ini","bootsect.bak","ns.exe","dudok.exe","thumbs.db","iconcache.db"

豁免檔案字尾：

"wpx","mpa","ani","drv","mod","idx","themepack","msu","icl","ocx","cpl","scr","adv","shs","prf","sys","diagpkg","msp","386","theme","com","nls","bat","msstyles","icns","lock","ics","nomedia",

"deskthemepack","diagcab","hlp","cmd","rtp","diagcfg","cur","rom","spl"

刪除服務名：

"oracle","veeam","sql","vm","backup"

結束程式名：

"veeam","sql","vm","oracle","backup"

伺服器域名：

praxis-management-plus.de;iqbalscientific.com;retroearthstudio.com;lange.host;starsarecircular.org;urclan.net;lorenacarnero.com......

另外還包含：加密公鑰、base64編碼後的勒索資訊文字、勒索資訊檔名格式等。

從上面的配置資訊可以發現該病毒變種有如下定製化特點：

1、豁免資料夾除了系統資料夾、瀏覽器資料夾以保證系統以及瀏覽器能夠正常使用外，還包含了騰訊以及微信的資料夾"tencent fies"、"wechat files"，表明其攻擊目標可能比較傾向中國地區，"intel"則是用於儲存病毒檔案及駭客工具的資料夾。

2、豁免檔名除了一些系統檔案外，還包含常見的駭客工具名以及勒索病毒名，根據從以往Sodinokibi攻擊現場獲取到的檔案，“xm64.exe”為密碼抓取工具、“xwdef.exe”為防火牆關閉工具、“ns.exe”為內網掃描工具、“dudok.exe”為病毒檔名，而"ph.exe"、"bro.exe"、"sais.exe"也有可能是其他的駭客工具名。

解碼出的勒索資訊文字如下：

根據鍵盤佈局對如下語言地區進行豁免：

建立登錄檔自啟動項，如果加密過程中被關機，重啟後將會繼續執行加密：

執行powershell命令

“powershell -e

RwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAFMAaABhAGQAbwB3AGMAbwBwAHkAIAB8ACAARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0ACAAewAkAF8ALgBEAGUAbABlAHQAZQAoACkAOwB9AA==”，其中base64解碼後為

“Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}”，其功能為刪除卷影副本，防止透過卷影副本的方式恢復被加密檔案：

列舉並刪除相應服務：

結束相應服務程式：

遍歷磁碟對檔案進行加密：

修改桌面背景：

上傳系統資訊到伺服器：

加密完成後病毒檔案自刪除：

加密後現象如下，將桌面背景改為藍色，檔案加密後被新增隨機字尾，並生成txt格式的勒索資訊檔案：

0x3 日常加固建議

1、日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2、使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3、避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4、定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案

針對已經出現勒索現象的使用者，由於暫時沒有解密工具，建議儘快對感染主機進行斷網隔離。深信服提醒廣大使用者儘快做好病毒檢測與防禦措施，防範該病毒家族的勒索攻擊。