病毒预警

2019-06-20 10:45 001

病毒预警

近日,安全网络监测实验室截获Sodinokibi勒索病毒最新变种,该勒索病毒最早出现于2019年4月底,早期利用Oracle WebLogic Server中的反序列化漏洞(CVE-2019-2725)进行传播。近期,研究人员发现最新变种通过钓鱼邮件进行传播,其攻击目标为商贸、科技、机关等单位相关工作人员。将其命名为Ransom.Win32.SODINOKIBI.AUWSP。

Sodinokibi勒索病毒分析

钓鱼邮件附件伪装成Word文档,文件名则具有迷惑性,诱导用户点击:

【伪装成word文档】

研究人员对勒索病毒样本文件进行分析,发现其主要的功能函数,如下图所示:

进入功能函数,首先动态解密修正IAT,本次版本一共需要修正138处,相关函数函数包括:WinHttpOpenRequest、FindNextFileW、WinHttpSendRequest、DeleteFileW等函数。

该勒索病毒会过滤如下白名单(目录,文件以及后缀名):

目录

文件

后缀名

加密后,文件扩展名为随机字符:

勒索说明文件命名为“随机扩展名-readme.txt”:

解决方案

尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;尽量关闭不必要的文件共享;采用高强度的密码,避免使用弱口令密码,并定期更换密码;不要点击来源不明的邮件以及附件;不要点击来源不明的邮件中包含的链接;浏览网页时不下载运行可疑程序;及时更新系统,更新应用程序,打全系统及应用程序补丁程序;请注意备份重要文档。备份的**做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

苏公网安备 32050802011072号