警惕垃圾邮件，伪造法院传真传播Sodinokibi勒索病毒

Sodinokibi勒索病毒在国内首次被发现于2019年4月份，2019年5月24日首次在意大利被发现，在意大利被发现使用RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在GandCrab勒索病毒运营团队停止更新之后，就马上接管了之前GandCrab的传播渠道，经过近半年的发展，这款勒索病毒使用了多种传播渠道进行传播扩散，如下所示：

Oracle Weblogic Server漏洞

Flash UAF漏洞

RDP攻击

垃圾邮件

水坑攻击

漏洞利用工具包和恶意广告下载

自从GandCrab停止更新之后，这款勒索病毒迅速流行，国内外已经有不少企业中招，微信上一个朋友又发来勒索病毒求助信息，如下所示：

通过了解，这位朋友是打开了一个邮件附件，然后被加密勒索，如下：

勒索病毒提示信息文本文件和样本，如下：

拿到勒索提示信息和样本，基本可以确认是Sodinokibi勒索病毒了，相关的勒索提示信息，如下所示：

垃圾邮件信息，如下所示：

发件人邮箱地址:user@qixinge.club，伪造中华人民共和国最高人民法院的传真，给受害者发送垃圾邮件，然后附加上勒索病毒，样本采用了DOC的图片，迷惑受害者，如下所示：

主要是利用一些受害者安全意识比较薄弱的特点，直接打开附件中的程序文档，然后中招，被加密勒索，通过垃圾邮件传播也是一些勒索病毒团伙常用的技巧，主要还是因为很多人对勒索病毒并不了解，然后自身安全意识也不够强，以为不会被勒索......

通过分析这款勒索病毒样本，跟之前一样，也采用了混淆加密的外壳，通过动态调试，可以在内存中解密获取到勒索病毒的核心代码，如下所示：

对比之前Sodinokibi勒索病毒代码，如下所示：

代码相应度达到90%以上，确认此勒索病毒为Sodinokibi变种，此勒索病毒加密后的文件，如下所示：

同时会修改桌面背景，如下所示：

此勒索病毒解密网站，如下所示：

勒索金额为0.12805337BTC，超过期限之后为0.25610674BTC，黑客BTC钱包地址：

3J7XVA4BRKSEbsbkn3LZzt8xAnszik8FKH

此前的BTC钱包地址：

3Fxn6x58FvreuBA9ECyxYdx8dQnDuZhxMj

3AXsdbxDtWd8BKw2tfZxH1nb3rXLKFFxXY

3JxrembpZuzsMVxtr7NBy2sxX1MhEiaRnf

黑产团伙利用垃圾邮件传播勒索病毒，主要是利用受害者安全意识不强，当收到垃圾邮件之后，立即打开邮件中的附件程序，勒索病毒运行导致系统被加密勒索，此勒索病毒目前主要通过垃圾邮件，RDP爆破，CVE漏洞等进行传播，目前此勒索病毒暂无法解密，全球也没有哪家安全公司或组织发布相关解密工具，请大家一定要提高自己的安全意识，警惕垃圾邮件，更不要轻易打开邮件中的附件。