找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 25463|回复: 0

[已解决] Sodinokibi勒索软件瞄准政务系统,爆发趋势上升

[复制链接]

主题

帖子

0

积分

版主

赤豹•泰山个人杀软QQ群:144195035

Rank: 7Rank: 7Rank: 7

积分
0
发表于 2019-7-23 16:05:00 | 显示全部楼层 |阅读模式
近期,江民赤豹网络安全实验室监测到Sodinokibi勒索软件感染事件呈上升趋势。Sodinokibi勒索病毒首先出现于2019年4月底,早期使用web服务相关漏洞传播。近期发现,Sodinokibi勒索病毒会伪装成税务单位、司法机构,使用钓鱼欺诈邮件来传播,感染后使用RSA+salsa20算法加密电脑上的重要文件,影响用户业务运行。





早在今年6月初,GandCrab勒索病毒制造者就在俄语论坛中发布“退休”声明,声称在2018年中通过GandCrab勒索病毒勒索超过20亿美元(约134亿人民币)的赎金,鼓励更多的恶意攻击者加入勒索行动,而Sodinokibi在GandCrab勒索病毒“退休”前的一个月被第一次发现,其代码中多项特征与GandCrab类似,被认为是GandCrab勒索软件的“继承者”。



江民杀毒软件已经能够查杀最新病毒样本

1 恶意代码介绍
Sodinokibi勒索病毒,又常常被称为Sodin、REvil,尽管从发现第一个版本至今才不到3个月时间,该勒索病毒的知名度已经非常高了,因为它与刚刚退休不久的GandCrab勒索软件有着极强的关联。
如同GandCrab一样,Sodinokibi也采用勒索软件即服务(RaaS)的形式进行分发传播,从技术上看Sodinokibi比GandCrab更加先进。根据互联网中的数据显示,自从GandCrab勒索软件在5月宣布彻底退出后,Sodinokibi勒索软件在六、七月中旬的感染数量明显上升,可以预见这个趋势在未来可能会更加严重。


2 恶意代码危害
使用RSA+salsa20算法加密电脑上的重要文件,使工作资料无法使用。


3 恶意代码传播方式
1). 通过Oracle WebLogic、Apache Struts2漏洞进行传播;
2). 通过伪装成合法软件诱导用户下载运行传播;
3). 通过垃圾邮件和恶意链接进行传播;
4). 通过远程RDP、SSH弱口令爆破进行传播。
4 恶意代码分析
详情见《sodinokibi勒索病毒分析报告》http://www.jiangmin.com/download/Sodinokibi.pdf
        5 处理方案
1). 对重要的数据文件定期进行非本地备份;
2). 不要点击来源不明的邮件以及附件;
3). 重命名vssadmin.exe进程,防止勒索病毒利用它一次性清除文件的卷影副本;
4). Weblogic、Apache Struts2等服务器组件及时安装安全补丁,更新到最新版本;
5). 使用长度大于10位的复杂密码,禁用GUEST来宾帐户。
6). 尽量不要使用局域网共享,或把共享磁盘设置为只读属性,不允许局域网用户改写文件。
7). 关闭不必要的端口,如:445、135、139、3389等。
8). 安装江民赤豹端点全息系统,全面防御勒索病毒。
新江民人将不忘初心,牢记使命,努力践行社会责任,为国家的网络安全建设保驾护航!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

官方微信| Archiver|手机版|江民论坛

GMT+8, 2019-8-22 01:57 , Processed in 1.219648 second(s), 19 queries .

北京江民新科技术有限公司 版权所有 X3.4

Copyright © 1996- jiangmin.com All Rights Reserved

快速回复 返回顶部 返回列表