Sec Hotspot 首页  收藏本站  技术博客  RSS
统计信息
已收录文章数量:6681 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
Sodinokibi勒索病毒最新变种,勒索巨额赎金
本文来自公众号:安全分析与研究   2019.12.01 23:20:07

点击蓝字关注我们


Sodinokibi勒索病毒在国内首次被发现于2019年4月份,2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,在短短几个月的时间内,已经在全球大范围传播,近日此勒索病毒最新的变种,采用进程注入的方式,将勒索病毒核心代码注入到正常进程中执行勒索加密文件操作


今年六月一号,在GandCrab勒索病毒运营团队停止更新之后,就马上接管了之前GandCrab的传播渠道,经过近半年的发展,这款勒索病毒此前使用了多种传播渠道进行传播扩散,如下所示:

OracleWeblogic Server漏洞

FlashUAF漏洞

RDP攻击

垃圾邮件

水坑攻击

漏洞利用工具包和恶意广告下载(RIG Exploit Kit等)


前两天笔者生病休息了两三天,今天稍微有点好转,最近两天内有好几个朋友咨询Sodinokibi勒索病毒相关问题,是不是又有新的变种出现了?事实上笔者在11月27号的时候就曾捕获到了一批新的Sodinokibi勒索病毒的最新变种,这批Sodinokibi勒索病毒与此前捕获到的Sodinokibi勒索病毒不同,都是DLL文件,不是EXE程序, 预感 未来几天可能这款勒索病毒会使用进程注入的方式加载这批DLL进行传播感染,这批DLL应该就是勒索病毒团伙新生成的一批勒索病毒核心Payload,用于注入进程使用的


周日,笔者又发现在论坛上有人上传了一个Sodinokibi勒索病毒的最新的样本,如下所示:

上面显示勒索的金额,一台主机最高达4万美金,如下所示:

此样本被人同时在29号的不同时间段上传到了在线分析网站上,猜测这款新的变种可能是29号左右开始传播的,如下所示:

通过关联,发现此勒索病毒关联到一个服务器IP地址:45.141.84.22,通过微步在线进行查询,如下所示:

服务器IP地址位于:俄罗斯

此勒索病毒运行之后会启动一个正常进程,笔者主机上启动是vbc.exe进程,如下所示:

启动之后,如下所示:

然后将勒索病毒核心代码注入到启动的vbc.exe进程中执行,如下所示:

将Sodinokibi勒索病毒的核心代码DUMP下来,如下所示:

加密之后的文件后缀名,如下所示:

会修改桌面背景图片,如下所示:

同时笔者在虚拟机中测试这款勒索病毒的时候有可能会触发蓝屏,可能是注入和结束进程的时候导致的,如下所示:

勒索提示信息文件,如下所示:


针对企业的勒索病毒攻击越来越多了,具有很强的针对性,攻击手法也是多种多样,旧的勒索病毒不断变种,新型的勒索病毒又不断出现,基本上每天都有勒索病毒的变种被发现,同时经常有不同的企业被勒索病毒攻击的新闻曝光,真的是数不甚数,随着BTC等虚拟货币的流行,未来勒索病毒的攻击会不会持续增多?勒索病毒已经成为了全球网络安全最大的威胁,各企业要做好相应的防范措施,提高企业员工安全意识,以防中招


最后欢迎大家关注此微信公众号,专注于全球 最新 的恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球 最新 的安全攻击技术,及时提供全球 最新 最有价值的威胁情报信息,笔者有空休息的时候会 不定期 分享


往期精彩回顾

通过勒索病毒攻击案例,思考勒索病毒攻击现象与趋势


如果对恶意样本分析技术感兴趣,可以加入知识星球进行学习 加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长

加入知识星球,安全的路上,我们一路前行

长按识别二维码加入星球

安全的路还很长,贵在坚持,做安全的要少熬夜,注意身体......



觉得内容还不错的话,给我点个“在看”呗