「病毒预警」Sodinokibi勒索病毒现“新变种”,攻击手法再升级

亚信安全

发布时间: 19-06-0422:34

病毒预警

近日,亚信安全网络监测实验室截获Sodinokibi勒索病毒最新变种,该勒索病毒最早出现于2019年4月底,早期利用Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725)进行传播。近期,亚信安全研究人员发现最新变种通过钓鱼邮件进行传播,其攻击目标为商贸、科技、机关等单位相关工作人员。亚信安全将其命名为Ransom.Win32.SODINOKIBI.AUWSP。

Sodinokibi勒索病毒分析

钓鱼邮件附件伪装成Word文档,文件名则具有迷惑性,诱导用户点击:

【伪装成word文档】

亚信安全研究人员对勒索病毒样本文件进行分析,发现其主要的功能函数,如下图所示:

进入功能函数,首先动态解密修正IAT,本次版本一共需要修正138处,相关函数函数包括:WinHttpOpenRequest、FindNextFileW、WinHttpSendRequest、DeleteFileW等函数。

该勒索病毒会过滤如下白名单(目录,文件以及后缀名):

目录

文件

后缀名

加密后,文件扩展名为随机字符:

勒索说明文件命名为“随机扩展名-readme.txt”:

解决方案

尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;尽量关闭不必要的文件共享;采用高强度的密码,避免使用弱口令密码,并定期更换密码;不要点击来源不明的邮件以及附件;不要点击来源不明的邮件中包含的链接;浏览网页时不下载运行可疑程序;及时更新系统,更新应用程序,打全系统及应用程序补丁程序;请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

亚信安全产品解决方案

亚信安全病毒码版本15.147.60,云病毒码版本15.147.71,全球码版本15.149.00已经可以检测,请用户及时升级病毒码版本。针对Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725),亚信安全DS产品的DPI规则:1009707-Oracle Weblogic Server Remote Code Execution Vulnerability(CVE-2019-2725)针对Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725),亚信安全TDA产品的规则如下:2903 HTTP_POSSIBLE_ORACLE_WEBLOGIC_EXPLOIT

IOC

245f43b7d93d48e12db0082955712b7a229127fdd37e5b162007db85c463cca6

举报/反馈