189期报告汇总
安天发布《勒索软件 Sodinokibi 运营组织的关联分析》报告
2019 年 5 月,安天 CERT 监测到了多 起利用钓鱼邮件传播 Sodinokibi 勒索软件 的 事 件。Sodinokibi 从 2019 年 4 月 26 日 开始出现,其传播方式主要为钓鱼邮件、 RDP 暴力破解和漏洞利用。该勒索软件运 行后,尝试加密磁盘中的文件(不加密罗 马尼亚语、俄罗斯语、乌克兰语、白俄罗 斯语、爱沙尼亚语等语言的操作系统); 修改桌面背景并创建一封勒索信,勒索信 中提供了付款和解密网站,该网站需要提 交勒索信中的 Key 和加密后缀才可以访问。 提交后进入到解密界面,勒索者向受害者 勒索价值 1300 美元的比特币,若受害者不 在 7 天内支付则赎金价格翻倍。
安天 CERT 分析人员通过代码、C2、邮件、漏洞利用等关联分析认为该勒索软 件团伙是一个不断套用、利用其他现有恶 意工具作为攻击载体,传播勒索软件、挖 矿木马、窃密程序,并在全球范围内实施 普遍性、非针对性勒索、挖矿、窃密行为 的具有一定规模的黑产组织。该组织和 GandCrab 组织有着千丝万缕的关系,分析 人员猜测 Sodinokibi 和 GandCrab 运营成员 有重合部分,在 GandCrab 组织宣布停止 运营之后,部分 GandCrab 成员不愿收手, 继续运营新修改的勒索软件 Sodinokibi。
、 勒索病毒给企业和个人的数据安全带 来了严重的威胁,一旦主机被入侵,主机 中的文件都有可能被加密,而且被加密文 件将难以恢复,因此防护显得极为重要。安天建议广大用户,不要将数据安全立足 于加密后的数据恢复,应该安装杀毒、防 毒软件(参考安天智甲工具)并及时升级 系统和修补设备漏洞;对重要的数据文件 进行备份,避免弱口令的使用,避免使用 统一的密码。确保所有的计算机在使用远 程桌面服务时采取 VPN 连接等安全方式, 如果业务上无需使用远程桌面服务,建议 将其关闭。
目前,安天追影产品已经实现了对该 类恶意代码的鉴定;安天智甲已经实现了 对该恶意代码的查杀。