-
-
[原创]警惕垃圾邮件,伪造法院传真传播Sodinokibi勒索病毒
-
发表于: 2019-8-27 23:10
-
Sodinokibi勒索病毒在国内首次被发现于2019年4月份,2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,在GandCrab勒索病毒运营团队停止更新之后,就马上接管了之前GandCrab的传播渠道,经过近半年的发展,这款勒索病毒使用了多种传播渠道进行传播扩散,如下所示:
Oracle Weblogic Server漏洞
Flash UAF漏洞
RDP攻击
垃圾邮件
水坑攻击
漏洞利用工具包和恶意广告下载
自从GandCrab停止更新之后,这款勒索病毒迅速流行,国内外已经有不少企业中招,微信上一个朋友又发来勒索病毒求助信息,如下所示:
通过了解,这位朋友是打开了一个邮件附件,然后被加密勒索,如下:
勒索病毒提示信息文本文件和样本,如下:
拿到勒索提示信息和样本,基本可以确认是Sodinokibi勒索病毒了,相关的勒索提示信息,如下所示:
垃圾邮件信息,如下所示:
发件人邮箱地址:user@qixinge.club,伪造中华人民共和国最高人民法院的传真,给受害者发送垃圾邮件,然后附加上勒索病毒,样本采用了DOC的图片,迷惑受害者,如下所示:
主要是利用一些受害者安全意识比较薄弱的特点,直接打开附件中的程序文档,然后中招,被加密勒索,通过垃圾邮件传播也是一些勒索病毒团伙常用的技巧,主要还是因为很多人对勒索病毒并不了解,然后自身安全意识也不够强,以为不会被勒索......
通过分析这款勒索病毒样本,跟之前一样,也采用了混淆加密的外壳,通过动态调试,可以在内存中解密获取到勒索病毒的核心代码,如下所示:
对比之前Sodinokibi勒索病毒代码,如下所示:
