当前位置:首页 > 漏洞预警 > 正文

Sodinokibi勒索病毒借助钓鱼邮件传播预警(更新)

发布时间:2019-09-27 14:12:06,来源:中国信息通信研究院

      一、 基本情况

近日,伪装成DHL包裹信息的钓鱼邮件被捕获,经分析,该钓鱼邮件内嵌Sodinokibi勒索病毒家族的下载地址。该病毒伪装成名为”DHL海关报关单.doc.exe”的word文档诱使用户点开。当用户不慎点开后,程序随即对主机文件进行加密,并删除磁盘卷影,防止恢复。

      二、 攻击原理

该勒索病毒首先出现于2019年4月底,早期使用web服务相关漏洞传播。

此次的Sodinokibi勒索病毒以钓鱼邮件的形式向目标用户邮递。当用户不慎执行后,程序会生成文件加密后缀名+readme.txt的勒索信息,勒索信息包括个人的ID序列号,以及恶意软件作者的联系方式。 

image.png

以下为程序执行后的截图:

 image.png

勒索信界面截图:

image.png 

勒索软件作者网站,当输入勒索软件生成的key和Extension name,该网站声称可以免费解密3个小文件。

image.png 

访问文本显示的恶意软件作者的联系方式,输入感染ID序列号和文件后缀名会跳转到如下网页。勒索赎金约7000美金,而该赎金将会在7天后翻倍。

image.png 

      三、 影响范围

此类勒索病毒涉及范围很广,请各企业用户、事业单位、政府部门等做好安全防护,加强安全意识,以尽可能防御此类病毒攻击。

      四、 处置建议

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。具体防范措施如下:

1) 切记不要轻信不明邮件,不要点击不明链接和下载不明程序。

2) Weblogic、Apache Struts2等服务器组件及时安装安全补丁,更新到最新版本。

3) 高危的系统级补丁应即时修复,例如永恒之蓝、CVE-2019-0708等高危系统级漏洞。尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

4) 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

5) 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

6) 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

7) 对重要文件和数据(数据库等数据)进行定期非本地备份。

8) 教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

      五、 参考链接

1) https://www.freebuf.com/articles/system/211602.html

2) https://www.freebuf.com/company-information/212574.html