Sodinoki样本分析报告
2019-06-26 来源:安全资讯
样本信息 样本名称: Sodinoki 样本家族: Sodinoki 样本类型: 勒索 MD 5 : 12befdd8032a552e603fabc5d37bda35 e08d8c6d2914952c25df1cd0da66131b SHA1: 04a12c70de87894d189be572718a9b781e192a90 96b93642444f087fc299bde75a82ae
样本信息
样本名称:Sodinoki样本家族:Sodinoki
样本类型:勒索
MD5: 12befdd8032a552e603fabc5d37bda35
e08d8c6d2914952c25df1cd0da66131b
SHA1: 04a12c70de87894d189be572718a9b781e192a90
96b93642444f087fc299bde75a82aef40d716eb7
文件类型:email, exe
文件大小:456145 bytes, 280576 bytes
传播途径:邮件附件
专杀信息:暂无
影响系统:Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 10等64位操作系统。
样本来源:
发现时间:2019.6.13
入库时间:
C2服务器:暂无
样本概况
此次攻击疑似针对国内游戏测评公司任玩堂(www.appgame.com),邮件伪装成DHL货物交付延迟通知,获取受害者信任并诱使打开。附件为压缩包,内含四个文件,可执行文件的属性设置为隐藏,因此正常用户在默认设置情况下是无法看到可执行程序的存在,只能看到两个快捷方式。在设置显示隐藏文件后能看到所有的相关文件。
样本危害
该病毒会恶意加密文件并勒索用户交付赎金但不提供解密方法,如果中了此病毒将会导致文件无法还原和使用进而造成用户经济、财产的损失。手工清除方法
无应对措施及建议
1). .尽量关闭不必要的端口,如 445、135,139 等,对 3389、5900 等端口可进行白名单配置,只允许白名单内的 IP 连接登陆。2). 采用高强度的密码,避免使用弱口令密码,并定期更换密码。
3). 安装防毒杀毒软件并将病毒库升级为最新版本,并定期对计算机进行全盘扫描。
4). 安装江民赤豹端点全息系统,一键恢复操作系统至加密前任何时间结点,无惧勒索。
5). 对重要文件应及时备份,如果不幸中了勒索病毒,不要轻易支付赎金,因为很多勒索病毒其实并不提供解密功能,支付赎金只会造成更大的经济损失。
6). 不要随意打开执行来路不明的文件。
7). 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
行为概述
文件行为
进程行为
暂无注册表行为
写入 HKEY_LOCAL_MACHINE\SOFTWARE\recfg网络行为
暂无详细分析报告
伪装成Office Word的病毒样本首先解密一段ShellCode,并跳转执行该ShellCode:。
ShellCode主要功能为解密核心PayLoad并跳转执行:
核心PayLoad为sodinokibi勒索病毒,动态解密修正137处IAT:
紧接着创建互斥,保证只有一个实例运行:
之后解密配置信息,解密函数如下:
解密的配置信息包括公钥、白名单目录、白名单文件、白名单后缀、域名、要结束的进程等信息:
然后将公钥、加密后的后缀等信息保存到注册表HKEY_LOCAL_MACHINE\SOFTWARE\recfg:
并通过GetKeyboardLayoutList获取键盘布局信息,当遇到下列语言环境时则不进行文件加密:
判断当前进程是否存在配置文件中需要结束的进程,若有则结束该进程
并通过执行CMD命令删除卷影文件防止用户恢复被加密的文件:
并在每个目录下生成勒索相关信息:
最终加密除白名单配置以外的所有文件,将加密后的文件设置为之前保存在注册表中的随机后缀:
最后尝试连接配置文件中的域名,发送受害者计算机基本信息:
