近日,安天 CERT 在梳理网络安全事件时发现一个名为 Sodinokibi 的勒索病毒。该勒索病毒主要通过钓鱼邮件进行传播,利用伪装邮件主题、文件名称、文件图标等带有迷惑性的内容诱导受害者进行点击。主要攻击对象包括商贸、科技、机关等公司或单位的人员。
在最近的一次攻击事件中,攻击者向受害者发送带有附件的钓鱼邮件,钓鱼邮件中携带恶意 word 附件,一旦受害者打开了恶意 word 附件,便会下载 Sodinokibi勒索病毒。Sodinokibi 运行后首先将自身设置为自启动,如果被感染的机器启用了UAC 功能,Sodinokibi 会获取运行许可,接着加密所有非系统运行环境路径的所有非 PE 文件,并将文件后缀改为随机变化的后缀名来加密受害者的文件,随后,执行命令删除并禁用全盘所有卷影副本。最后,修改桌面背景并创建一封勒索信,勒索信中提供了付款链接和解密方案网址,受害者在该网址中输入勒索信上的 key 和被加密的后缀,就会跳转到勒索界面,勒索金额为价值 2500 美元的比特币,如果延期两天后付款将提高到价值 5000 美元的比特币。
勒索病毒给企业和个人的数据安全带来了严重的威胁,一旦主机被入侵,主机中的文件都有可能被加密,而且被加密文件将难以恢复,因此防护显得极为重要。安天建议广大用户,不要将数据安全立足于加密后的数据恢复,应该安装杀毒、防毒软件(参考安天智甲工具)并及时升级系统和修补设备漏洞;对重要的数据文件进行备份,避免弱口令的使用,避免使用统一的密码。确保所有的计算机在使用远程桌面服务时采取 VPN 连接等安全方式,如果业务上无需使用远程桌面服务,建议将其关闭。
目前,安天追影产品已经实现了对该类勒索病毒的鉴定;安天智甲已经实现了对该勒索病毒的查杀。
