Sodinokibi勒索病毒，勒索赎金最高达1200万美元

前言

2019年6月1日，GandCrab勒索病毒运营团队宣布停止运营之后，Sodinokibi勒索病毒马上接管了GandCrab的传播渠道，Sodinokibi应该是2019年下半年全球传播最广最活跃的勒索病毒之一，同时它也被称为是GandCrab的“接班人”，两者之间有着密不可分的联系，国内外多家安全公司都曾分析过这款勒索病毒与GandCrab的关系，笔者也曾多次写过相应的分析报告，国内第一篇关于Sodinokibi勒索病毒的分析报告应该也是笔者写的，笔者一直在追踪此勒索病毒，最近又捕获到一例Sodinokibi勒索病毒，其勒索赎金最高达1200万美元之多。

分析

捕获到的Sodinokibi(REvil)勒索病毒样本，仿冒Adobe® Flash® Player 32.0 r0程序，如下所示：

程序相关信息，如下所示：

此勒索病毒加密后的文件，如下所示：

桌面背景被修改，如下所示：

勒索提示信息文件，内容如下所示：

勒索解密网站信息，如下所示：

勒索赎金为835.38641147个BTC(按现在的市价，相当于600万美元)，超过2天，勒索赎金翻倍为1,670.77282294个BTC(按现在的市价，相当于1200万美元)，此样本可以说是笔者发现的Sodinokibi勒索病毒最高赎金的样本，勒索病毒的核心代码采用了一种新的加载方式，详细分析如下

对此样本中Sodinokibi勒索病毒核心代码的加载方式进行详细分析，动态调试此样本，会释放一个恶意的System.dll到临时目录下，如下所示：

然后调用System.dll的Call导出函数，如上所示：

分配内存空间，如下所示：

将加密过的Sodinokibi勒索病毒的核心代码存储到刚分配的内存中，如下所示：

最后解密出Sodinokibi勒索病毒的核心代码，在内存中执行，如下所示：

将Sodinokibi勒索病毒的核心代码DUMP下来，如下所示：

关于Sodinokibi勒索核心代码的分析可以参考其他文章，笔者这里主要研究了它核心代码的加载方式。

预测勒索病毒攻击在明年可能会越来越多，而且使用的攻击手法会越来越复杂，攻击也会越来越具有针对性和目的性，不排除未来会有更多的新型黑客组织或者成熟的黑客组织加入进来，通过勒索病毒与其他恶意程序相结合的方式最大限度地获取暴利，各企业要做好相应的防范措施，提高自身员工的安全意识，以防中招。