最新病毒库日期:
  • Sodinoki样本分析报告
2019-06-26 15:52 来源:未知
【文章摘要】样本信息 样本名称: Sodinoki 样本家族: Sodinoki 样本类型: 勒索 MD 5 : 12befdd8032a552e603fabc5d37bda35 e08d8c6d2914952c25df1cd0da66131b SHA1: 04a12c70de87894d189be572718a9b781e192a90 96b93642444f087fc299bde75a82ae

样本信息

样本名称:Sodinoki
样本家族:Sodinoki
样本类型:勒索
MD5 12befdd8032a552e603fabc5d37bda35
e08d8c6d2914952c25df1cd0da66131b
SHA1: 04a12c70de87894d189be572718a9b781e192a90
96b93642444f087fc299bde75a82aef40d716eb7
文件类型:email, exe
文件大小:456145 bytes, 280576 bytes
传播途径:邮件附件 
专杀信息:暂无
影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 10等64位操作系统。
样本来源:
发现时间:2019.6.13
入库时间:
C2服务器:暂无 

样本概况

此次攻击疑似针对国内游戏测评公司任玩堂(www.appgame.com),邮件伪装成DHL货物交付延迟通知,获取受害者信任并诱使打开。
附件为压缩包,内含四个文件,可执行文件的属性设置为隐藏,因此正常用户在默认设置情况下是无法看到可执行程序的存在,只能看到两个快捷方式。在设置显示隐藏文件后能看到所有的相关文件。 

样本危害

该病毒会恶意加密文件并勒索用户交付赎金但不提供解密方法,如果中了此病毒将会导致文件无法还原和使用进而造成用户经济、财产的损失。

手工清除方法


应对措施及建议

1). .尽量关闭不必要的端口,如 445、135,139 等,对 3389、5900 等端口可进行白名单配置,只允许白名单内的 IP 连接登陆。
2). 采用高强度的密码,避免使用弱口令密码,并定期更换密码。
3). 安装防毒杀毒软件并将病毒库升级为最新版本,并定期对计算机进行全盘扫描。
4). 安装江民赤豹端点全息系统,一键恢复操作系统至加密前任何时间结点,无惧勒索。
5). 对重要文件应及时备份,如果不幸中了勒索病毒,不要轻易支付赎金,因为很多勒索病毒其实并不提供解密功能,支付赎金只会造成更大的经济损失。
6). 不要随意打开执行来路不明的文件。
7). 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

行为概述

文件行为

进程行为

暂无

注册表行为

写入 HKEY_LOCAL_MACHINE\SOFTWARE\recfg

网络行为

暂无
 
 

详细分析报告

伪装成Office Word的病毒样本首先解密一段ShellCode,并跳转执行该ShellCode:
 

ShellCode主要功能为解密核心PayLoad并跳转执行:

核心PayLoad为sodinokibi勒索病毒,动态解密修正137处IAT:

紧接着创建互斥,保证只有一个实例运行:

之后解密配置信息,解密函数如下:

解密的配置信息包括公钥、白名单目录、白名单文件、白名单后缀、域名、要结束的进程等信息:

然后将公钥、加密后的后缀等信息保存到注册表HKEY_LOCAL_MACHINE\SOFTWARE\recfg:

并通过GetKeyboardLayoutList获取键盘布局信息,当遇到下列语言环境时则不进行文件加密:

判断当前进程是否存在配置文件中需要结束的进程,若有则结束该进程

并通过执行CMD命令删除卷影文件防止用户恢复被加密的文件:

并在每个目录下生成勒索相关信息:

最终加密除白名单配置以外的所有文件,将加密后的文件设置为之前保存在注册表中的随机后缀:

最后尝试连接配置文件中的域名,发送受害者计算机基本信息:

 

总结

由于Sodinokibi会通过电子邮件传播,我们建议您不要打开任何未知来源的电子邮件,尤其是不要打开附件。即使附件来自常用联系人,我们也建议您在打开之前,使用杀毒软件对其进行扫描,以确保它不包含任何恶意文档或文件。。

附录

Hash
C&C