垃圾邮件冒充中国工商银行传播Sodinokibi勒索病毒

Sodinokibi勒索病毒在国内首次被发现于2019年4月份，2019年5月24日首次在意大利被发现，在意大利被发现使用RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在短短几个月的时间内，已经在全球大范围传播，近日此勒索病毒通过垃圾邮件，冒充中国工商银行进行网络攻击。

今年六月一号，在GandCrab勒索病毒运营团队停止更新之后，就马上接管了之前GandCrab的传播渠道，经过近半年的发展，这款勒索病毒使用了多种传播渠道进行传播扩散，如下所示：

Oracle Weblogic Server漏洞

Flash UAF漏洞

RDP攻击

垃圾邮件

水坑攻击

漏洞利用工具包和恶意广告下载

最近一段时间笔者发现此勒索病毒大多利用钓鱼垃圾邮件的方式进行传播，安全研究人员发现一例Sodinokibi勒索病毒，网络犯罪团伙利用垃圾邮件，冒充中国工商银行传播Sodinokibi勒索病毒，邮件如下所示：

邮件的发件人地址信息：

From:Aline Bedirian(ICBC Manger) <hnet@htnw.co.kr>

邮件Subject: Manager ICBC

附件信息：attachment:All_info.zip

邮件附件压缩包中包含一个名字为银行信息证书的程序，如下所示：

从程序名称中的日期来看是昨天显示为2019年11月06号，诱骗受害者打开此程序，然后加密勒索受害者，如下所示：

此勒索病毒加密文件之后，会修改桌面背景，如下所示：

相应的勒索信息，如下所示：

打开勒索信息提示的解密网站，如下所示：

解密需要0.53749175 BTC(相当于5000美元)

Sodinokibi勒索病毒近期仍然非常流行，各企业一定要做好相应的防范措施，以防止被勒索病毒攻击，目前这款勒索病毒暂时没有公开的解密工具发布，已知的最新的解密工具版本是1.6，如下所示：

针对企业的勒索病毒攻击越来越多了，具有很强的针对性，旧的勒索病毒不断变种，新型的勒索病毒又不断出现，全球每天都有勒索病毒的变种被发现，同时每天都有不同的企业被勒索病毒攻击，真的是数不甚数，随着BTC等虚拟货币的流行，未来勒索病毒的攻击还会持续增多，而且后面可能会慢慢转向针对不同的平台进行攻击，勒索病毒已经成为了全球网络安全最大的威胁。