sodinokib勒索病毒安全预警

      一、事件背景

近日，绿盟科技TAC设备发现邮件附件中的恶意样本，经分析，样本为2019年6月新出的sodinokibi勒索病毒。该病毒以钓鱼邮件来传播，邮件附件中包含伪装成word文档的可执行文件，诱导员工打开附件，加密主机文件。

  二、样本及IOC

垃圾邮件附件为包含病毒的压缩包：

Main object- "海關文件.doc.exe"

      sha256  55fee1475746caf4eab603785e14570eb5f55cbdb48d271f69cb435f7a6804e3 

      sha1      7c00e8665596329192a03481545a2433f54b8f3b     

      md5       4152945a8c737f0a13a3edcbcf73a68f 

Main object- "聯繫方式.doc.exe”

      sha256  55fee1475746caf4eab603785e14570eb5f55cbdb48d271f69cb435f7a6804e3 

      sha1      7c00e8665596329192a03481545a2433f54b8f3b     

      md5       4152945a8c737f0a13a3edcbcf73a68f

      三、样本行为

1、邮件传播：

使用钓鱼邮件来传播，病毒放在压缩包里，是伪装成word文档的可执行文件，诱导员工打开。（病毒附件名：關於你案件的文件.doc.exe，聯繫方式.doc.exe，來自最高法院的文件\錶殼材料.doc.exe，稅務局的文件\樣品填充.doc.exe，海關文件.doc.exe等）

2、勒索加密

运行样本后，样本会加密主机文件，并修改后缀名为随机字母组合。

通过获取键盘布局信息，避开加密部分语言国家

使用IOCP完成端口模型完成对文件数据的加密流程

删除系统卷影信息防止文件找回

注册表修改

REG_SZ为加密文件的后缀。

3、勒索信息

在加密文件目录中生成勒索信息提示文件，并生成图片修改主机桌面。

勒索信息提示文件：5yvo55-readme.txt （随机字母数字组合-readme.txt）

桌面：

      四、处置建议

1）Sodinokibi勒索病毒不会驻留系统，也不会添加自启动相关注册表项目。可使用任务管理器查看是否有可疑进程（如*.doc.exe后缀进程），并及时结束可疑进程，以终止文件加密，减少损失。

2）Sodinokibi勒索病毒暂无解密工具，可先将被加密的重要文件、勒索信息文件备份保存，以待将来有解密工具时解密。

      五、安全建议

1）加强企业员工安全意识培训，不轻易打开陌生邮件或运行来历不明的程序；

2）尽量避免危险端口对外开放，利用IPS、防火墙等设备对危险端口进行防护（445、139、3389等）；

3）开启windows系统防火墙，通过ACL等方式，对RDP及SMB服务访问进行加固；

4）通过windows组策略配置账户锁定策略，对短时间内连续登陆失败的账户进行锁定；

5）加强主机账户口令复杂度及修改周期管理，并尽量避免出现通用或规律口令的情况；

6）修改系统管理员默认用户名，避免使用admin、administraotr、test等常见用户名；

7）安装具备自保护的防病毒软件，防止被黑客退出或结束进程，并及时更新病毒库；

8）及时更新操作系统及其他应用的高危漏洞安全补丁；

9）定时对重要业务数据进行备份，防止数据破坏或丢失。

附录A   样本对外连接信息

DNS requests

       domain  rivermusic.nl

       domain  awag-blog.de     

       domain  endstarvation.com     

       domain  four-ways.com    

       domain  sveneulberg.de  

       domain  oro.ae   

       domain  mindfuelers.com 

       domain  slotspinner.com  

       domain  wirmuessenreden.com     

       domain  www.palema.gr  

       domain  palema.gr    

       domain  bridalcave.com   

       domain  perfectgrin.com  

       domain  happylublog.wordpress.com    

       domain  loysonbryan.com

       domain  insane.agency    

       domain  mundo-pieces-auto.fr

       domain  ciga-france.fr

       domain  www.ciga-france.fr    

       domain  ronaldhendriks.nl

       domain  www.mundo-pieces-auto.fr

       domain  zwemofficial.nl    

       domain  stagefxinc.com   

       domain  jax-interim-and-projectmanagement.com

       domain  dierenambulancealkmaar.nl    

       domain  www.stagefxinc.com 

       domain  gavelmasters.com     

       domain  jlgraphisme.fr     

       domain  akcadagofis.com

       domain  powershell.su     

       domain  ayudaespiritualtamara.com     

       domain  sycamoregreenapts.com  

Connections

       ip    104.16.17.74

       ip    89.110.129.56    

       ip    95.170.72.94

       ip    195.201.29.161  

       ip    94.23.87.17 

       ip    62.113.233.7

       ip    35.185.122.102  

       ip    178.77.83.248    

       ip    148.251.235.217

       ip    104.28.27.170    

       ip    192.0.78.13 

       ip    185.154.136.222

       ip    104.37.84.171    

       ip    104.20.3.245

       ip    2.16.106.186

       ip    69.168.78.206    

       ip    164.132.235.17  

       ip    92.222.234.4

       ip    160.153.131.189

       ip    91.184.0.30 

       ip    195.242.92.8

       ip    31.7.7.155   

       ip    51.77.137.26

       ip    185.103.16.188  

       ip    195.114.26.214  

       ip    89.252.190.48    

       ip    54.247.91.90

       ip    54.72.3.133 

       ip    37.46.140.5 

       ip    216.15.197.23    

       ip    149.56.35.134

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。