Sodinoki樣本分析報告
2019-06-26?來源:安全資訊
樣本信息 樣本名稱: Sodinoki 樣本家族: Sodinoki 樣本類型: 勒索 MD 5 : 12befdd8032a552e603fabc5d37bda35 e08d8c6d2914952c25df1cd0da66131b SHA1: 04a12c70de87894d189be572718a9b781e192a90 96b93642444f087fc299bde75a82ae
樣本信息
樣本名稱:Sodinoki樣本家族:Sodinoki
樣本類型:勒索
MD5: 12befdd8032a552e603fabc5d37bda35
e08d8c6d2914952c25df1cd0da66131b
SHA1: 04a12c70de87894d189be572718a9b781e192a90
96b93642444f087fc299bde75a82aef40d716eb7
文件類型:email, exe
文件大小:456145 bytes, 280576 bytes
傳播途徑:郵件附件
專殺信息:暫無
影響系統:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 10等64位操作系統。
樣本來源:
發現時間:2019.6.13
入庫時間:
C2服務器:暫無
樣本概況
此次攻擊疑似針對國內游戲測評公司任玩堂(www.appgame.com),郵件偽裝成DHL貨物交付延遲通知,獲取受害者信任并誘使打開。附件為壓縮包,內含四個文件,可執行文件的屬性設置為隱藏,因此正常用戶在默認設置情況下是無法看到可執行程序的存在,只能看到兩個快捷方式。在設置顯示隱藏文件后能看到所有的相關文件。
樣本危害
該病毒會惡意加密文件并勒索用戶交付贖金但不提供解密方法,如果中了此病毒將會導致文件無法還原和使用進而造成用戶經濟、財產的損失。手工清除方法
無應對措施及建議
1). .盡量關閉不必要的端口,如 445、135,139 等,對 3389、5900 等端口可進行白名單配置,只允許白名單內的 IP 連接登陸。2). 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼。
3). 安裝防毒殺毒軟件并將病毒庫升級為最新版本,并定期對計算機進行全盤掃描。
4). 安裝江民赤豹端點全息系統,一鍵恢復操作系統至加密前任何時間結點,無懼勒索。
5). 對重要文件應及時備份,如果不幸中了勒索病毒,不要輕易支付贖金,因為很多勒索病毒其實并不提供解密功能,支付贖金只會造成更大的經濟損失。
6). 不要隨意打開執行來路不明的文件。
7). 不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。
行為概述
文件行為
進程行為
暫無注冊表行為
寫入 HKEY_LOCAL_MACHINE\SOFTWARE\recfg網絡行為
暫無詳細分析報告
偽裝成Office Word的病毒樣本首先解密一段ShellCode,并跳轉執行該ShellCode:。
ShellCode主要功能為解密核心PayLoad并跳轉執行:
核心PayLoad為sodinokibi勒索病毒,動態解密修正137處IAT:
緊接著創建互斥,保證只有一個實例運行:
之后解密配置信息,解密函數如下:
解密的配置信息包括公鑰、白名單目錄、白名單文件、白名單后綴、域名、要結束的進程等信息:
然后將公鑰、加密后的后綴等信息保存到注冊表HKEY_LOCAL_MACHINE\SOFTWARE\recfg:
并通過GetKeyboardLayoutList獲取鍵盤布局信息,當遇到下列語言環境時則不進行文件加密:
判斷當前進程是否存在配置文件中需要結束的進程,若有則結束該進程
并通過執行CMD命令刪除卷影文件防止用戶恢復被加密的文件:
并在每個目錄下生成勒索相關信息:
最終加密除白名單配置以外的所有文件,將加密后的文件設置為之前保存在注冊表中的隨機后綴:
最后嘗試連接配置文件中的域名,發送受害者計算機基本信息:
