Sodinokibi勒索病毒在国内首次被发现于2019年4月份,2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,从样本逆向分析的角度,可以看到Sodinokibi勒索病毒与GandCrab勒索病毒有一些相似之处,同时根据之前追踪溯源可以得出Sodinokibi勒索病毒在GandCrab勒索病毒运营团队停止更新之后,就马上接管了之前GandCrab的传播渠道,经过近半年的发展,这款勒索病毒使用了多种传播渠道进行传播扩散,如下所示:
Oracle Weblogic Server漏洞
Flash UAF漏洞
RDP攻击
垃圾邮件
APT水坑攻击
漏洞利用工具包和恶意广告下载
C.R.A.M. TG Soft(反恶意软件研究中心)曾出过一份详细的分析报告,追踪了这款勒索病毒这几个月的演变,报告下载地址:
https://www.tgsoft.it/immagini/news/20190705Sodinokibi/Sodinokibi_eng.pdf
近日安全研究人员公布了此款勒索病毒的最新信息,如下所示:
这款勒索病毒的钱包地址:
3AXsdbxDtWd8BKw2tfZxH1nb3rXLKFFxXY,通过查询发现此BTC钱包,暂无赎金,后续可以持续跟踪这款勒索病毒的BTC钱包地址:
此前还发现过两个Sodinokibi勒索病毒的BTC钱包地址:
3JxrembpZuzsMVxtr7NBy2sxX1MhEiaRnf
3Fxn6x58FvreuBA9ECyxYdx8dQnDuZhxMj
然而这款勒索病毒跟GandCrab一样,也是通过RAAS(勒索即服务)分发的,它的钱包地址有很多,需要跟踪所有黑客BTC钱包地址,我这里仅仅收集追踪了几个而已,后面还会持续跟踪,当受害者交付赎金之后,可以从黑客的解密网站下载勒索病毒的解密工具,笔者曾追踪下载过一款Sodinokibi勒索病毒的解密工具
此勒索病毒加密后的文件,如下所示:
勒索提示信息文本文件,如下所示:
通过访问勒索病毒的解密网站,可以看到黑客的BTC钱包地址,如下所示:
在六天之内,黑客勒索的赎金为0.14994007 BTC,超过六天双倍,赎金为:0.29988014 BTC
最近一两年针对企业的勒索病毒攻击越来越多,不断有企业被加密勒索,大部分中小型企业被加密勒索之后,会选择交付赎金,还有一些大型的企业,被勒索病毒攻击,可能也暗地里与黑客联系,交付赎金,在微信群里也经常有人反馈相关的勒索消息,如下所示:
也许只有当勒索病毒背后的黑产团伙无利可图的时候,才会没有勒索病毒,但事实上现在一些企业被加密勒索之后都会寻求解密中介或找黑客进行解密,这也间接导致现在勒索病毒越来越多,因为黑客可以从中获取巨大的利益,针对勒索病毒的攻击,我们要做好相应的防范措施,以防为主。