Sodinoki樣本分析報告
2019-06-26?來源:安全資訊
樣本信息 樣本名稱: Sodinoki 樣本家族: Sodinoki 樣本類型: 勒索 MD 5 : 12befdd8032a552e603fabc5d37bda35 e08d8c6d2914952c25df1cd0da66131b SHA1: 04a12c70de87894d189be572718a9b781e192a90 96b93642444f087fc299bde75a82ae
樣本信息
樣本名稱:Sodinoki樣本家族:Sodinoki
樣本類型:勒索
MD5: 12befdd8032a552e603fabc5d37bda35
e08d8c6d2914952c25df1cd0da66131b
SHA1: 04a12c70de87894d189be572718a9b781e192a90
96b93642444f087fc299bde75a82aef40d716eb7
文件類型:email, exe
文件大小:456145 bytes, 280576 bytes
傳播途徑:郵件附件
專殺信息:暫無
影響系統(tǒng):Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 10等64位操作系統(tǒng)。
樣本來源:
發(fā)現(xiàn)時間:2019.6.13
入庫時間:
C2服務(wù)器:暫無
樣本概況
此次攻擊疑似針對國內(nèi)游戲測評公司任玩堂(www.appgame.com),郵件偽裝成DHL貨物交付延遲通知,獲取受害者信任并誘使打開。附件為壓縮包,內(nèi)含四個文件,可執(zhí)行文件的屬性設(shè)置為隱藏,因此正常用戶在默認設(shè)置情況下是無法看到可執(zhí)行程序的存在,只能看到兩個快捷方式。在設(shè)置顯示隱藏文件后能看到所有的相關(guān)文件。
樣本危害
該病毒會惡意加密文件并勒索用戶交付贖金但不提供解密方法,如果中了此病毒將會導(dǎo)致文件無法還原和使用進而造成用戶經(jīng)濟、財產(chǎn)的損失。手工清除方法
無應(yīng)對措施及建議
1). .盡量關(guān)閉不必要的端口,如 445、135,139 等,對 3389、5900 等端口可進行白名單配置,只允許白名單內(nèi)的 IP 連接登陸。2). 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼。
3). 安裝防毒殺毒軟件并將病毒庫升級為最新版本,并定期對計算機進行全盤掃描。
4). 安裝江民赤豹端點全息系統(tǒng),一鍵恢復(fù)操作系統(tǒng)至加密前任何時間結(jié)點,無懼勒索。
5). 對重要文件應(yīng)及時備份,如果不幸中了勒索病毒,不要輕易支付贖金,因為很多勒索病毒其實并不提供解密功能,支付贖金只會造成更大的經(jīng)濟損失。
6). 不要隨意打開執(zhí)行來路不明的文件。
7). 不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。
行為概述
文件行為
進程行為
暫無注冊表行為
寫入 HKEY_LOCAL_MACHINE\SOFTWARE\recfg網(wǎng)絡(luò)行為
暫無詳細分析報告
偽裝成Office Word的病毒樣本首先解密一段ShellCode,并跳轉(zhuǎn)執(zhí)行該ShellCode:。
ShellCode主要功能為解密核心PayLoad并跳轉(zhuǎn)執(zhí)行:
核心PayLoad為sodinokibi勒索病毒,動態(tài)解密修正137處IAT:
緊接著創(chuàng)建互斥,保證只有一個實例運行:
之后解密配置信息,解密函數(shù)如下:
解密的配置信息包括公鑰、白名單目錄、白名單文件、白名單后綴、域名、要結(jié)束的進程等信息:
然后將公鑰、加密后的后綴等信息保存到注冊表HKEY_LOCAL_MACHINE\SOFTWARE\recfg:
并通過GetKeyboardLayoutList獲取鍵盤布局信息,當遇到下列語言環(huán)境時則不進行文件加密:
判斷當前進程是否存在配置文件中需要結(jié)束的進程,若有則結(jié)束該進程
并通過執(zhí)行CMD命令刪除卷影文件防止用戶恢復(fù)被加密的文件:
并在每個目錄下生成勒索相關(guān)信息:
最終加密除白名單配置以外的所有文件,將加密后的文件設(shè)置為之前保存在注冊表中的隨機后綴:
最后嘗試連接配置文件中的域名,發(fā)送受害者計算機基本信息:
