歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Sodinokibi勒索病毒最新變種勒索巨額贖金

來源:本站整理 作者:佚名 時間:2019-12-10 TAG: 我要投稿

Sodinokibi勒索病毒在國內首次被發現于2019年4月份,2019年5月24日首次在意大利被發現,在意大利被發現使用RDP攻擊的方式進行傳播感染,這款病毒被稱為GandCrab勒索病毒的接班人,在短短幾個月的時間內,已經在全球大范圍傳播,近日此勒索病毒最新的變種,采用進程注入的方式,將勒索病毒核心代碼注入到正常進程中執行勒索加密文件操作
今年六月一號,在GandCrab勒索病毒運營團隊停止更新之后,就馬上接管了之前GandCrab的傳播渠道,經過近半年的發展,這款勒索病毒此前使用了多種傳播渠道進行傳播擴散,如下所示:
OracleWeblogic Server漏洞FlashUAF漏洞RDP攻擊垃圾郵件水坑攻擊漏洞利用工具包和惡意廣告下載(RIG Exploit Kit等)
前兩天筆者生病休息了兩三天,今天稍微有點好轉,最近兩天內有好幾個朋友咨詢Sodinokibi勒索病毒相關問題,是不是又有新的變種出現了?事實上筆者在11月27號的時候就曾捕獲到了一批新的Sodinokibi勒索病毒的最新變種,這批Sodinokibi勒索病毒與此前捕獲到的Sodinokibi勒索病毒不同,都是DLL文件,不是EXE程序,預感未來幾天可能這款勒索病毒會使用進程注入的方式加載這批DLL進行傳播感染,這批DLL應該就是勒索病毒團伙新生成的一批勒索病毒核心Payload,用于注入進程使用的
周日,筆者又發現在論壇上有人上傳了一個Sodinokibi勒索病毒的最新的樣本,如下所示:

上面顯示勒索的金額,一臺主機最高達4萬美金,如下所示:

此樣本被人同時在29號的不同時間段上傳到了在線分析網站上,猜測這款新的變種可能是29號左右開始傳播的,如下所示:

通過關聯,發現此勒索病毒關聯到一個服務器IP地址:45.141.84.22,通過微步在線進行查詢,如下所示:

服務器IP地址位于:俄羅斯
此勒索病毒運行之后會啟動一個正常進程,筆者主機上啟動是vbc.exe進程,如下所示:

啟動之后,如下所示:

然后將勒索病毒核心代碼注入到啟動的vbc.exe進程中執行,如下所示:

將Sodinokibi勒索病毒的核心代碼DUMP下來,如下所示:

加密之后的文件后綴名,如下所示:

會修改桌面背景圖片,如下所示:

同時筆者在虛擬機中測試這款勒索病毒的時候有可能會觸發藍屏,可能是注入和結束進程的時候導致的,如下所示:

勒索提示信息文件,如下所示:

獲取的樣本pdb信息
D:\Coding\!avBTDF17с\bin\Debugrwenc_exe_x86_debug.pdb,猜測最新的版本主要還是為了免殺!av,將核心代碼注入正常進程,這批新的變種應該最早是在20號左右編譯,27開始傳播,29號擴大傳播
針對企業的勒索病毒攻擊越來越多了,具有很強的針對性,攻擊手法也是多種多樣,舊的勒索病毒不斷變種,新型的勒索病毒又不斷出現,基本上每天都有勒索病毒的變種被發現,同時經常有不同的企業被勒索病毒攻擊的新聞曝光,真的是數不甚數,隨著BTC等虛擬貨幣的流行,未來勒索病毒的攻擊會不會持續增多?勒索病毒已經成為了全球網絡安全最大的威脅,各企業要做好相應的防范措施,提高企業員工安全意識,以防中招
 

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 快3玩法必中技巧 股票配资门户 北京快3技巧稳赚方法 黑龙江快乐十分中奖规则 曼联股票指数 北京体育彩票十一选五 青海十一选五开奖结果一定牛 广西体育彩票11选5走势图 云南11选5怎么选号 体彩排列三走势图