sodinoki样本分析报告-pg电子试玩入口

sodinoki样本分析报告-pg电子试玩入口

了解江民最新动态

2019-06-26 来源:安全资讯

样本信息 样本名称: sodinoki 样本家族: sodinoki 样本类型: 勒索 md 5 : 12befdd8032a552e603fabc5d37bda35 e08d8c6d2914952c25df1cd0da66131b sha1: 04a12c70de87894d189be572718a9b781e192a90 96b93642444f087fc299bde75a82ae

样本信息

样本名称:sodinoki
样本家族:sodinoki
样本类型:勒索
md5 12befdd8032a552e603fabc5d37bda35
e08d8c6d2914952c25df1cd0da66131b
sha1: 04a12c70de87894d189be572718a9b781e192a90
96b93642444f087fc299bde75a82aef40d716eb7
文件类型:email, exe
文件大小:456145 bytes, 280576 bytes
传播途径:邮件附件 
专杀信息:暂无
影响系统:windows xp, windows server 2003,windows vista,windows 7,windows 10等64位操作系统。
样本来源:
发现时间:2019.6.13
入库时间:
c2服务器:暂无 

样本概况

此次攻击疑似针对国内游戏测评公司任玩堂(www.appgame.com),邮件伪装成dhl货物交付延迟通知,获取受害者信任并诱使打开。
附件为压缩包,内含四个文件,可执行文件的属性设置为隐藏,因此正常用户在默认设置情况下是无法看到可执行程序的存在,只能看到两个快捷方式。在设置显示隐藏文件后能看到所有的相关文件。 

样本危害

该病毒会恶意加密文件并勒索用户交付赎金但不提供解密方法,如果中了此病毒将会导致文件无法还原和使用进而造成用户经济、财产的损失。

手工清除方法


应对措施及建议

1). .尽量关闭不必要的端口,如 445、135,139 等,对 3389、5900 等端口可进行白名单配置,只允许白名单内的 ip 连接登陆。
2). 采用高强度的密码,避免使用弱口令密码,并定期更换密码。
3). 安装防毒杀毒软件并将病毒库升级为最新版本,并定期对计算机进行全盘扫描。
4). 安装江民赤豹端点全息系统,一键恢复操作系统至加密前任何时间结点,无惧勒索。
5). 对重要文件应及时备份,如果不幸中了勒索病毒,不要轻易支付赎金,因为很多勒索病毒其实并不提供解密功能,支付赎金只会造成更大的经济损失。
6). 不要随意打开执行来路不明的文件。
7). 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

行为概述

文件行为

进程行为

暂无

注册表行为

写入 hkey_local_machine\software\recfg

网络行为

暂无
 
 

详细分析报告

伪装成office word的病毒样本首先解密一段shellcode,并跳转执行该shellcode:
 

shellcode主要功能为解密核心payload并跳转执行:

核心payload为sodinokibi勒索病毒,动态解密修正137处iat:

紧接着创建互斥,保证只有一个实例运行:

之后解密配置信息,解密函数如下:

解密的配置信息包括公钥、白名单目录、白名单文件、白名单后缀、域名、要结束的进程等信息:

然后将公钥、加密后的后缀等信息保存到注册表hkey_local_machine\software\recfg:

并通过getkeyboardlayoutlist获取键盘布局信息,当遇到下列语言环境时则不进行文件加密:

判断当前进程是否存在配置文件中需要结束的进程,若有则结束该进程

并通过执行cmd命令删除卷影文件防止用户恢复被加密的文件:

并在每个目录下生成勒索相关信息:

最终加密除白名单配置以外的所有文件,将加密后的文件设置为之前保存在注册表中的随机后缀:

最后尝试连接配置文件中的域名,发送受害者计算机基本信息:

 

总结

由于sodinokibi会通过电子邮件传播,我们建议您不要打开任何未知来源的电子邮件,尤其是不要打开附件。即使附件来自常用联系人,我们也建议您在打开之前,使用杀毒软件对其进行扫描,以确保它不包含任何恶意文档或文件。。

附录

hash
c&c
 
更多推荐
网站地图