这里有久久精品66,欧美 日韩 在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站

新聞中心

了解江民最新動(dòng)態(tài)

Sodinoki樣本分析報(bào)告

2019-06-26?來源:安全資訊

樣本信息 樣本名稱: Sodinoki 樣本家族: Sodinoki 樣本類型: 勒索 MD 5 : 12befdd8032a552e603fabc5d37bda35 e08d8c6d2914952c25df1cd0da66131b SHA1: 04a12c70de87894d189be572718a9b781e192a90 96b93642444f087fc299bde75a82ae

樣本信息

樣本名稱:Sodinoki
樣本家族:Sodinoki
樣本類型:勒索
MD5 12befdd8032a552e603fabc5d37bda35
e08d8c6d2914952c25df1cd0da66131b
SHA1: 04a12c70de87894d189be572718a9b781e192a90
96b93642444f087fc299bde75a82aef40d716eb7
文件類型:email, exe
文件大?。?/strong>456145 bytes, 280576 bytes
傳播途徑:郵件附件 
專殺信息:暫無
影響系統(tǒng):Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 10等64位操作系統(tǒng)。
樣本來源:
發(fā)現(xiàn)時(shí)間:2019.6.13
入庫時(shí)間:
C2服務(wù)器:暫無 

樣本概況

此次攻擊疑似針對(duì)國內(nèi)游戲測(cè)評(píng)公司任玩堂(www.appgame.com),郵件偽裝成DHL貨物交付延遲通知,獲取受害者信任并誘使打開。
附件為壓縮包,內(nèi)含四個(gè)文件,可執(zhí)行文件的屬性設(shè)置為隱藏,因此正常用戶在默認(rèn)設(shè)置情況下是無法看到可執(zhí)行程序的存在,只能看到兩個(gè)快捷方式。在設(shè)置顯示隱藏文件后能看到所有的相關(guān)文件。 

樣本危害

該病毒會(huì)惡意加密文件并勒索用戶交付贖金但不提供解密方法,如果中了此病毒將會(huì)導(dǎo)致文件無法還原和使用進(jìn)而造成用戶經(jīng)濟(jì)、財(cái)產(chǎn)的損失。

手工清除方法


應(yīng)對(duì)措施及建議

1). .盡量關(guān)閉不必要的端口,如 445、135,139 等,對(duì) 3389、5900 等端口可進(jìn)行白名單配置,只允許白名單內(nèi)的 IP 連接登陸。
2). 采用高強(qiáng)度的密碼,避免使用弱口令密碼,并定期更換密碼。
3). 安裝防毒殺毒軟件并將病毒庫升級(jí)為最新版本,并定期對(duì)計(jì)算機(jī)進(jìn)行全盤掃描。
4). 安裝江民赤豹端點(diǎn)全息系統(tǒng),一鍵恢復(fù)操作系統(tǒng)至加密前任何時(shí)間結(jié)點(diǎn),無懼勒索。
5). 對(duì)重要文件應(yīng)及時(shí)備份,如果不幸中了勒索病毒,不要輕易支付贖金,因?yàn)楹芏嗬账鞑《酒鋵?shí)并不提供解密功能,支付贖金只會(huì)造成更大的經(jīng)濟(jì)損失。
6). 不要隨意打開執(zhí)行來路不明的文件。
7). 不要從不可靠的渠道下載軟件,因?yàn)檫@些軟件很可能是帶有病毒的。

行為概述

文件行為

進(jìn)程行為

暫無

注冊(cè)表行為

寫入 HKEY_LOCAL_MACHINE\SOFTWARE\recfg

網(wǎng)絡(luò)行為

暫無
 
 

詳細(xì)分析報(bào)告

偽裝成Office Word的病毒樣本首先解密一段ShellCode,并跳轉(zhuǎn)執(zhí)行該ShellCode:。
 

ShellCode主要功能為解密核心PayLoad并跳轉(zhuǎn)執(zhí)行:

核心PayLoad為sodinokibi勒索病毒,動(dòng)態(tài)解密修正137處IAT:

緊接著創(chuàng)建互斥,保證只有一個(gè)實(shí)例運(yùn)行:

之后解密配置信息,解密函數(shù)如下:

解密的配置信息包括公鑰、白名單目錄、白名單文件、白名單后綴、域名、要結(jié)束的進(jìn)程等信息:

然后將公鑰、加密后的后綴等信息保存到注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWARE\recfg:

并通過GetKeyboardLayoutList獲取鍵盤布局信息,當(dāng)遇到下列語言環(huán)境時(shí)則不進(jìn)行文件加密:

判斷當(dāng)前進(jìn)程是否存在配置文件中需要結(jié)束的進(jìn)程,若有則結(jié)束該進(jìn)程

并通過執(zhí)行CMD命令刪除卷影文件防止用戶恢復(fù)被加密的文件:

并在每個(gè)目錄下生成勒索相關(guān)信息:

最終加密除白名單配置以外的所有文件,將加密后的文件設(shè)置為之前保存在注冊(cè)表中的隨機(jī)后綴:

最后嘗試連接配置文件中的域名,發(fā)送受害者計(jì)算機(jī)基本信息:

 

總結(jié)

由于Sodinokibi會(huì)通過電子郵件傳播,我們建議您不要打開任何未知來源的電子郵件,尤其是不要打開附件。即使附件來自常用聯(lián)系人,我們也建議您在打開之前,使用殺毒軟件對(duì)其進(jìn)行掃描,以確保它不包含任何惡意文檔或文件。。

附錄

Hash
C&C
 
茶陵县| 丹凤县| 花垣县| 定西市| 灵宝市| 龙江县| 二连浩特市| 综艺| 韶山市| 江山市| 台北市| 武汉市| 台中市| 光山县| 长顺县| 阳朔县| 儋州市| 乾安县| 枞阳县| 罗山县| 余干县| 弥渡县| 松江区| 上思县| 上饶市| 九江市| 巩留县| 娄烦县| 观塘区| 乌恰县| 江川县| 桂林市| 顺义区| 上思县| 赤壁市| 政和县| 兴和县| 连云港市| 吴桥县| 定州市| 富民县|