近日,江民赤豹安全实验室追踪到,前段时间造成巨大影响的“Sodinokibi”勒索病毒出现了新的变种,专门针对中国企业用户进行持续钓鱼攻击。相比之前,本轮攻击更有针对性和目的性,特意瞄准了具有支付能力的国内中大型企业。从江民反病毒监测中心数据显示,国内以星*湾地产集团、上海科*诺股份等公司为代表的一批中大型集团、上市企业赫然出现在攻击者的目录中,此类具有较大影响力和支付能力的企业成为了攻击者首选目标。
赤豹安全实验室研究发现,“Sodinokibi”变种勒索病毒会伪装成DHL国际快运公司此类的第三方服务机构的邮箱域名,大规模推送隐藏了勒索病毒附件的钓鱼邮件,用户一旦点击附件,就有可能感染勒索病毒,并新增了共享文件感染的功能,感染后使用RSA+salsa20算法加密电脑上的重要文件,影响用户关键业务运行,以此勒索巨额赎金(超过3万美金的比特币)。
此外,“Sodinokibi”勒索病毒在执行加密时,会加载一个白名单,对其中指定的某些文件夹和文件类型不加密,还排除了几个俄语系国家及东欧国家不进行加密破坏行动,这充分表明了这是一次有预谋的具有地域针对性的黑客攻击。
新的“Sodinokibi”变种病毒,黑客组织研究了国内主流杀软防御机制,特意进行了免杀处理,会绕开杀毒软件的防御,导致了一些杀软无法查杀,目前国内江民杀毒软件可以及时拦截查杀。
图为免杀的部分代码
早于今年4月,江民赤豹安全实验室就发现了“Sodinokibi”勒索病毒,其代码中多项特征与GandCrab类似,被认为是GandCrab勒索软件的“继承者”。“Sodinokibi”勒索病毒会伪装成税务单位、司法机构、快递公司,大规模推送钓鱼欺诈邮件来传播,感染后使用RSA+salsa20算法加密电脑上的重要文件,影响用户关键业务运行。此次“Sodinokibi”新变种病毒会对使用到的大量字串进一步使用RC4算法进行加密,最终使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程,被该病毒加密破坏的文件暂时无法解密,请广大用户提高警惕,做好事前防御工作。
快速辨别钓鱼邮件
钓鱼邮件的主要特点。钓鱼邮件通常会伪装成企业、机构、政府的身份或虚构人员,或使用伪造邮件地址,模仿正式通知的语气,引导用户去点击邮件中的不明链接、下载邮件的附件。但这些不明链接、附件,一旦点击就会自动下载木马病毒,用户电脑面临账号、数据被窃取,感染病毒的风险。
辨别钓鱼邮件,首先关注来邮的地址信息。电子邮件与常规邮件类似,其发信人地址可以分为信封地址和信息地址,信封地址是发件人声称的地址,由发件人自己填写;而信息地址为邮件服务器记录的实际地址。从而可见,信封地址是可以伪造的,而用户往往看到的就是发件人的信封地址(可以将光标移至发件人或信封地址后面查看是否有地址不一致的提示)。一般来说一封正常的电子邮件应该是信息地址和信封地址是相同的,如果不同,或标记“代发”的,就要特别小心,可以初步判断可能是一封伪造邮件,也就是可能是钓鱼邮件。
如何预防勒索病毒
江民赤豹安全实验室专家表示,防范勒索病毒最重要的是做好事前防御工作,用户切勿抱有侥幸心理,中了勒索病毒再四处寻求解密途径为时已晚,并且有很大风险。第一,中了勒索病毒加密系统文件,可能影响重要业务系统运行,造成巨大损失;第二,真实事例表明,即使向攻击者支付了赎金也不一定能解密成功,一些攻击者只是从暗网买到勒索病毒程序以此牟取赎金,并没有解密的秘钥。与其寄希望于黑客的操守,不如事前做好防范措施。
江民安全专家提供用户做好以下防范措施:
1). 对重要的数据文件定期进行非本地备份,安装江民杀毒软件并及时更新病毒库;
2). 不要点击来源不明的邮件以及附件;
3). 重命名vssadmin.exe进程,防止勒索病毒利用它一次性清除文件的卷影副本;
4). Weblogic、Apache Struts2等服务器组件及时安装安全补丁,更新到最新版本;
5). 使用长度大于10位的复杂密码,禁用GUEST来宾帐户;
6). 尽量不要使用局域网共享,或把共享磁盘设置为只读属性,不允许局域网用户改写文件;
7). 关闭不必要的端口,如:445、135、139、3389等;
8). 安装江民赤豹端点全息系统,全面防御勒索病毒,保护重要数据。